O ransomware CACTUS é uma variedade de malware que foi descoberta pela primeira vez na natureza em março de 2023. Seu nome é baseado na nota de resgate que ele coloca nos computadores das vítimas, que se chama cAcTuS.readme.txt. O malware também cria arquivos criptografados com a extensão .cts1 onde o número no final do ramal pode variar.
O CACTUS ransomware geralmente explora vulnerabilidades no software de rede privada virtual (VPN) para obter acesso a um ambiente-alvo. Depois de obter acesso ao sistema, o malware estabelece comunicações de comando e controle (C2) com seu operador via SSH. Ele também aproveita as tarefas agendadas no sistema infectado para manter a persistência entre as reinicializações.
Com uma pegada na rede de destino, o malware usa a varredura de rede para identificar possíveis alvos de infecção na rede. Em seguida, ele usa vários métodos para roubar credenciais de usuário, como coletá-las de navegadores da Web e despejá-las do LSASS. Essas credenciais comprometidas são então usadas para obter o nível de acesso necessário para realizar o ataque. Isso inclui a adição ou o acesso a contas em dispositivos remotos que o malware pode usar para se espalhar pela rede.
Uma vez em um dispositivo, o malware usa o msiexec para desinstalar o software antivírus comum. O malware também incorpora várias técnicas projetadas para protegê-lo contra a detecção, incluindo a distribuição do malware em um formato criptografado que requer uma chave AES para ser descompactado. É provável que essa técnica seja projetada para proteger contra a análise do malware, pois os pesquisadores e as sandboxes podem não ter coletado a chave de descriptografia apropriada junto com a cópia do malware ou não ter conhecimento dos parâmetros de configuração necessários para acionar sua funcionalidade mal-intencionada.
O CACTUS é um exemplo de uma variante de ransomware de dupla extorsão. Além de criptografar os dados, com uma combinação de RSA e AES, o malware também tenta exfiltrá-los. Observou-se que ele usa o Rclone para isso, que move os arquivos roubados para o armazenamento em nuvem. Depois que a criptografia e a exfiltração são concluídas, o malware publica notas de resgate no computador do usuário.
O CACTUS ransomware usa a vulnerabilidade conhecida do VPN para obter acesso a suas vítimas, o que limita seu conjunto de alvos potenciais às organizações que usam appliances VPN reconhecidamente vulneráveis. Além disso, observou-se que o CACTUS tem como alvo principal as grandes empresas, que têm os recursos necessários para atender a uma grande solicitação de resgate.
O CACTUS é um exemplo de uma ransomware variante projetada para atacar redes corporativas enquanto usa várias técnicas de evasão para passar despercebida. Algumas práticas recomendadas de segurança que as organizações podem implementar para se proteger contra essa ameaça incluem:
O ransomware se tornou uma das ameaças mais significativas aos dados, à reputação e aos resultados financeiros das organizações. O ataque moderno de ransomware não apenas ameaça o acesso aos dados por meio de criptografia, mas também incorpora o roubo de dados e a vergonha para aumentar a pressão sobre as organizações para que paguem o resgate exigido.
No entanto, o ransomware como o CACTUS é apenas uma das várias ameaças à segurança cibernética que as empresas enfrentam. Para saber mais sobre a extensão do atual cenário de ameaças cibernéticas, consulte o Check Point Relatório de Cibersegurança 2024 da .
Check Point Harmony Endpoint oferece às organizações as ferramentas necessárias para se protegerem contra ransomware e outras ameaças potenciais aos seus endpoints e dados. Sua abordagem de segurança com foco na prevenção foi projetada para identificar e erradicar a ameaça antes que ela possa criptografar ou vazar dados confidenciais. Para saber mais sobre os recursos do Harmony Endpointe como ele pode aprimorar as defesas de sua organização contra o ransomware, solicite um demogratuito.