CACTUS Ransomware

O ransomware CACTUS é uma variedade de malware que foi descoberta pela primeira vez na natureza em março de 2023. Seu nome é baseado na nota de resgate que ele coloca nos computadores das vítimas, que se chama cAcTuS.readme.txt. O malware também cria arquivos criptografados com a extensão .cts1 onde o número no final do ramal pode variar.

Solicite uma demo Saiba mais

Como o CACTUS ransomware funciona?

O CACTUS ransomware geralmente explora vulnerabilidades no software de rede privada virtual (VPN) para obter acesso a um ambiente-alvo. Depois de obter acesso ao sistema, o malware estabelece comunicações de comando e controle (C2) com seu operador via SSH. Ele também aproveita as tarefas agendadas no sistema infectado para manter a persistência entre as reinicializações.

Com uma pegada na rede de destino, o malware usa a varredura de rede para identificar possíveis alvos de infecção na rede. Em seguida, ele usa vários métodos para roubar credenciais de usuário, como coletá-las de navegadores da Web e despejá-las do LSASS. Essas credenciais comprometidas são então usadas para obter o nível de acesso necessário para realizar o ataque. Isso inclui a adição ou o acesso a contas em dispositivos remotos que o malware pode usar para se espalhar pela rede.

 

Uma vez em um dispositivo, o malware usa o msiexec para desinstalar o software antivírus comum. O malware também incorpora várias técnicas projetadas para protegê-lo contra a detecção, incluindo a distribuição do malware em um formato criptografado que requer uma chave AES para ser descompactado. É provável que essa técnica seja projetada para proteger contra a análise do malware, pois os pesquisadores e as sandboxes podem não ter coletado a chave de descriptografia apropriada junto com a cópia do malware ou não ter conhecimento dos parâmetros de configuração necessários para acionar sua funcionalidade mal-intencionada.

O CACTUS é um exemplo de uma variante de ransomware de dupla extorsão. Além de criptografar os dados, com uma combinação de RSA e AES, o malware também tenta exfiltrá-los. Observou-se que ele usa o Rclone para isso, que move os arquivos roubados para o armazenamento em nuvem. Depois que a criptografia e a exfiltração são concluídas, o malware publica notas de resgate no computador do usuário.

Qual é o objetivo do CACTUS ransomware?

O CACTUS ransomware usa a vulnerabilidade conhecida do VPN para obter acesso a suas vítimas, o que limita seu conjunto de alvos potenciais às organizações que usam appliances VPN reconhecidamente vulneráveis. Além disso, observou-se que o CACTUS tem como alvo principal as grandes empresas, que têm os recursos necessários para atender a uma grande solicitação de resgate.

Como se proteger contra o CACTUS ransomware

O CACTUS é um exemplo de uma ransomware variante projetada para atacar redes corporativas enquanto usa várias técnicas de evasão para passar despercebida. Algumas práticas recomendadas de segurança que as organizações podem implementar para se proteger contra essa ameaça incluem:

  • Gerenciamento de patches: O CACTUS ransomware infecta sistemas principalmente explorando vulnerabilidades conhecidas em sistemas não corrigidos VPN. A aplicação imediata de atualizações e patches quando estiverem disponíveis pode impedir que o malware use esse vetor de acesso.
  • Autenticação forte: Esse ransomware geralmente tenta roubar credenciais de navegadores e do LSASS para obter o acesso e os privilégios necessários para realizar seus objetivos. A implementação da Autenticação multifatorial (MFA) para contas de usuário pode impedir que o CACTUS use as senhas que rouba de um computador infectado.
  • Educação dos funcionários: O CACTUS tenta explorar a reutilização de senhas ao despejar senhas de várias fontes em um computador infectado. O treinamento dos funcionários em práticas recomendadas de segurança de contas pode ajudar a reduzir ou eliminar essa ameaça.
  • Segmentação da rede: O CACTUS tenta se mover lateralmente pela rede usando contas que ele criou ou comprometeu a partir de um computador infectado. A segmentação da rede isola os sistemas de alto valor do restante da rede, tornando-os mais difíceis de serem acessados por um invasor.
  • Segurança da rede: Este ransomware usa ferramentas de escaneamento de rede e de acesso remoto para navegar pela rede. As soluções de segurança e monitoramento de rede podem identificar e bloquear essas tentativas de movimentação lateral.
  • Soluções Anti-ransomware: O CACTUS tenta criptografar arquivos confidenciais e exfiltrá-los por meio do armazenamento em nuvem. As soluções antiransomware podem identificar esse comportamento malicioso e erradicar a infecção malware.

Evite ataques de ransomware com Check Point

O ransomware se tornou uma das ameaças mais significativas aos dados, à reputação e aos resultados financeiros das organizações. O ataque moderno de ransomware não apenas ameaça o acesso aos dados por meio de criptografia, mas também incorpora o roubo de dados e a vergonha para aumentar a pressão sobre as organizações para que paguem o resgate exigido.

No entanto, o ransomware como o CACTUS é apenas uma das várias ameaças à segurança cibernética que as empresas enfrentam. Para saber mais sobre a extensão do atual cenário de ameaças cibernéticas, consulte o Check Point Relatório de Cibersegurança 2024 da .

 

Check Point Harmony Endpoint oferece às organizações as ferramentas necessárias para se protegerem contra ransomware e outras ameaças potenciais aos seus endpoints e dados. Sua abordagem de segurança com foco na prevenção foi projetada para identificar e erradicar a ameaça antes que ela possa criptografar ou vazar dados confidenciais. Para saber mais sobre os recursos do Harmony Endpointe como ele pode aprimorar as defesas de sua organização contra o ransomware, solicite um demogratuito.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK