Cactus: der Ransomware-Neuling mit ausgefeilten TTPs
November 2023 von Logpoint
Cactus tauchte im März dieses Jahres auf und hat seitdem schon Daten von ein paar weltweit bekannten Unternehmen infizieren können. Logpoint hat Taktiken, Techniken und Prozeduren (TTPs) sowie Indicators of Compromise (IoCs) analysiert, um Abwehrmaßnahmen zu entwickeln.
Cactus hat sich zu einer ausgeklügelten Ransomware entwickelt. Der Newcomer tauchte erstmals im März 2023 auf und hat sich in die Top 10 der Malware-Gruppen eingereiht, die die meisten monatlichen Opfer provozierten; im November lag die Ransomware laut den Nachforschungen der NCC Group mit 58 Opfern auf Platz 7. Die Gruppe konzentriert sich auf hohe Summen und hat es auf große Unternehmen abgesehen.
„Cactus ist ein gutes Beispiel für Ransomware-Gruppen, die bei ihren Angriffen immer ausgefeilte TTPs einsetzen. Was in diesem Fall auffällt, ist, dass die Malware sich selbst verschlüsselt, um der Erkennung zu entgehen“, erklärt Bibek Thapa Magar, Security Analytics Engineer bei Logpoint. „Die geschmeidige Art und Weise, wie die Verteidigung umgangen wird, zeigt, dass die Gruppe ihr Spiel gut beherrscht. Cactus hat sich schnell einen Namen gemacht, indem es doppelte Erpressung einsetzt, sensible Daten kompromittiert und den Opfern nur wenige Möglichkeiten zur Abwehr lässt.“
Cactus ist eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie der automatischen Verschlüsselung und einer fortlaufenden Änderung der Dateierweiterungen nach der Verschlüsselung, wodurch es schwieriger wird, betroffene Dateien zu identifizieren. Die Ransomware verwendet den bekannten und leicht zu entpackenden UPX-Packer und unterteilt verschlüsselte Dateien in Mikropuffer, möglicherweise, um die Verwaltung der verschlüsselten Datenströme zu beschleunigen.
Logpoint hat einen Bericht zusammengestellt, der die von Cactus verwendeten TTPs und IoCs hervorhebt, um Warnregeln zur Erkennung der von der Gruppe verwendeten Methoden zu erstellen. Laut Kroll nutzt Cactus bekannte Schwachstellen in VPN-Appliances aus, um sich einen ersten Zugang zu verschaffen und mit SSH Befehle und Kontrolle zu erlangen. Die Gruppe versucht, LSASS und Anmeldedaten aus Webbrowsern auszulesen, um ihre Rechte zu erweitern. Schließlich verschafft sich Cactus mit Splashtop oder AnyDesk Zugang zu den Zielcomputern und erstellt mit Chisel einen Proxy zwischen den infizierten Hosts, bevor er die Dateien verschlüsselt.
„Cactus ist eine gute Erinnerung daran, dass grundlegende Cyberhygiene wichtig ist, aber es zeigt auch, dass Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware sind“, fährt Bibek Thapa Magar fort. „Wenn eine Aktivität entdeckt wird, sollten Sicherheitsanalysten diese untersuchen und sicherstellen, dass sie sich nicht ausbreitet, indem sie virtuelle private Netzwerke (VPNs), Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren, bevor sie sich um die Eindämmung, Auslöschung und Wiederherstellung kümmern, um die Auswirkungen zu minimieren.“
Logpoints Sicherheitsplattform, Converged SIEM, enthält umfangreiche Werkzeuge und Funktionen zur Identifizierung, Bewertung und Eindämmung der Auswirkungen von Cactus Ransomware. Zusätzlich zu einem Paket von Warnregeln, die bei der Erkennung von Cactus-Aktivitäten helfen, bietet Logpoint Funktionen, die es Sicherheitsteams ermöglichen, wesentliche Incident Response-Verfahren zu automatisieren.
- Ransomware: Prävention und Vorgehen bei einem Angriff auf die Unternehmensdaten
- Ransomware-Gruppen unter Druck – Nachholbedarf bei Visibilität bleibt Priorität
- Gefahr durch Hive gebannt?
- Ransomware-Angriff zielt auf VMware ESXi-Server weltweit
- Ransomware-Angriffe zielen auf immer größere Unternehmen ab, während immer weniger Opfer das Lösegeld zahlen
- Berüchtigte IceFire-Ransomware ist zurück und attackiert jetzt auch Linux-Systeme
- Sechs Jahre nach WannaCry: Warum Ransomware nach wie vor ein Problem ist
- SentinelOne beleuchtet die neue Hypervisor-Ransomware
- Vice Society mit eigener Ransomware unterwegs
- Logpoint warnt: BianLian Ransomware mit verschlüsselungsfreier Erpressung
- DLL-Hijacking im asiatischen Glücksspielsektor
- KMU im Fadenkreuz: Die Ransomware-Gruppe 8base steigert ihre Aktivität erheblich
- Check Point zum Ransomware-Angriff auf MGM Resorts
- Glimm, Glammer, Ransomware
- Aufgedeckte Schleichfahrt: Analyse einer modernen „Musterattacke“