CACTUS勒索軟體通常利用虛擬私人網路( VPN )軟體中的脆弱性來存取目標環境。 取得系統存取權限後,惡意軟體透過 SSH 與其操作員建立命令與控制 (C2) 通訊。 它還利用受感染系統上的計劃任務來在重新啟動後保持持久性。
透過在目標網路上的足跡,惡意軟體使用網路掃描來識別網路上潛在的感染目標。 然後,它使用各種方法竊取使用者憑證,例如從 Web 瀏覽器收集它們並從 LSASS 轉儲它們。 然後,這些被盜用的憑證將用於獲得執行攻擊所需的存取等級。 這包括在遠端裝置上新增或存取帳戶,惡意軟體可利用這些帳戶透過網路傳播自身。
一旦安裝上惡意軟體,惡意軟體就會使用 msiexec 來卸載常見的防毒軟體。 該惡意軟體還採用了各種旨在保護其免受檢測的技術,包括以加密形式分發惡意軟體,需要 AES 金鑰才能解壓縮。 該技術可能旨在防止對惡意軟體的分析,因為研究人員和沙箱可能沒有收集適當的解密金鑰以及惡意軟體副本,或不知道觸發其惡意功能所需的配置參數。
CACTUS 是雙重勒索勒索軟體變種的一個例子。 除了結合使用 RSA 和 AES 來加密資料外,惡意軟體還嘗試竊取資料。 據觀察,可以使用 Rclone 來實現此目的,它將被盜的文件移動到雲端儲存。 一旦加密和洩漏完成,惡意軟體就會在使用者的電腦上發布勒索資訊。
CACTUS 勒索軟體使用已知的VPN脆弱性來存取其受害者,這將其潛在目標限制為那些使用已知易受攻擊的VPN設備的組織。 此外,CACTUS 主要針對大型企業,這些企業擁有滿足大額贖金請求所需的資源。
CACTUS 是勒索軟體變體的一個例子,旨在攻擊企業網絡,同時使用各種規避技術在雷達下飛行。 組織可以實施一些安全最佳實務來防範這種威脅,包括:
勒索軟體已成為對組織的數據、聲譽和利潤最重大的威脅之一。 現代勒索軟體攻擊不僅透過加密威脅對資料的訪問,還包括資料竊取和羞辱,以增加組織支付所需贖金的壓力。
然而,像 CACTUS 這樣的勒索軟體只是公司面臨的多種網路安全威脅之一。 要了解有關當前網路威脅情勢的更多信息,請查看 Check Point 的2024 年網路安全報告。
Check Point Harmony 端點為組織提供了保護端點和資料免受勒索軟體和其他潛在威脅所需的工具。 其以預防為中心的安全方法旨在在威脅加密或洩露敏感資料之前識別並消除威脅。 若要詳細了解 Harmony 端點的功能以及它如何增強組織對勒索軟體的防禦能力,請申請免費演示。
反映意見