CACTUS Ransomware

Como o CACTUS ransomware funciona?

O CACTUS ransomware geralmente explora vulnerabilidades no software de rede privada virtual (VPN) para obter acesso a um ambiente-alvo. Depois de obter acesso ao sistema, o malware estabelece comunicações de comando e controle (C2) com seu operador via SSH. Ele também aproveita as tarefas agendadas no sistema infectado para manter a persistência entre as reinicializações.

Com uma pegada na rede de destino, o malware usa a varredura de rede para identificar possíveis alvos de infecção na rede. Em seguida, ele usa vários métodos para roubar credenciais de usuário, como coletá-las de navegadores da Web e despejá-las do LSASS. Essas credenciais comprometidas são então usadas para obter o nível de acesso necessário para realizar o ataque. Isso inclui a adição ou o acesso a contas em dispositivos remotos que o malware pode usar para se espalhar pela rede.

Uma vez em um dispositivo, o malware usa o msiexec para desinstalar o software antivírus comum. O malware também incorpora várias técnicas projetadas para protegê-lo contra a detecção, incluindo a distribuição do malware em um formato criptografado que requer uma chave AES para ser descompactado. É provável que essa técnica seja projetada para proteger contra a análise do malware, pois os pesquisadores e as sandboxes podem não ter coletado a chave de descriptografia apropriada junto com a cópia do malware ou não ter conhecimento dos parâmetros de configuração necessários para acionar sua funcionalidade mal-intencionada.

O CACTUS é um exemplo de uma variante de ransomware de dupla extorsão. Além de criptografar os dados, com uma combinação de RSA e AES, o malware também tenta exfiltrá-los. Observou-se que ele usa o Rclone para isso, que move os arquivos roubados para o armazenamento em nuvem. Depois que a criptografia e a exfiltração são concluídas, o malware publica notas de resgate no computador do usuário.

Como se proteger contra o CACTUS ransomware

O CACTUS é um exemplo de uma ransomware variante projetada para atacar redes corporativas enquanto usa várias técnicas de evasão para passar despercebida. Algumas práticas recomendadas de segurança que as organizações podem implementar para se proteger contra essa ameaça incluem:

• Gerenciamento de patches: O CACTUS ransomware infecta sistemas principalmente explorando vulnerabilidades conhecidas em sistemas não corrigidos VPN. A aplicação imediata de atualizações e patches quando estiverem disponíveis pode impedir que o malware use esse vetor de acesso.
• Autenticação forte: Esse ransomware geralmente tenta roubar credenciais de navegadores e do LSASS para obter o acesso e os privilégios necessários para realizar seus objetivos. A implementação da Autenticação multifatorial (MFA) para contas de usuário pode impedir que o CACTUS use as senhas que rouba de um computador infectado.
• Educação dos funcionários: O CACTUS tenta explorar a reutilização de senhas ao despejar senhas de várias fontes em um computador infectado. O treinamento dos funcionários em práticas recomendadas de segurança de contas pode ajudar a reduzir ou eliminar essa ameaça.
• Segmentação da rede: O CACTUS tenta se mover lateralmente pela rede usando contas que ele criou ou comprometeu a partir de um computador infectado. A segmentação da rede isola os sistemas de alto valor do restante da rede, tornando-os mais difíceis de serem acessados por um invasor.
• Segurança da rede: Este ransomware usa ferramentas de escaneamento de rede e de acesso remoto para navegar pela rede. As soluções de segurança e monitoramento de rede podem identificar e bloquear essas tentativas de movimentação lateral.
• Soluções Anti-ransomware: O CACTUS tenta criptografar arquivos confidenciais e exfiltrá-los por meio do armazenamento em nuvem. As soluções antiransomware podem identificar esse comportamento malicioso e erradicar a infecção malware.