Истражувачите од компанијата за корпоративно истражување и консултантски ризици Kroll открија нов, софистициран вирус наречен Cactus.
Станува збор за насочени напади врз големи комерцијални субјекти кои се вршат со искористување на пропусти во популарните VPN уреди, благодарение на што напаѓачите добиваат првичен пристап до мрежите на жртвите.
Cactus најверојатно започна во март. Жртвите се уценети да плаќаат големи суми пари на име откуп.
Напаѓачите користат вообичаени тактики со ransmoware напади – шифрирање и кражба на датотеки. Но, она што ги издвојува од другите е новата тактика што ја користат за да избегнат откривање – Cactus ransomware се шифрира себеси за да не го открие антивирусниот софтвер, што значително ја отежнува борбата против него.
Експертите за сајбер безбедност во Крол открија дека софтверот Cactus се инфилтрира во мрежите на своите жртви искористувајќи ги безбедносните пропусти во VPN уредите. Истражувачите забележаа дека хакерите можеа да влезат во овие мрежи преку VPN сервери користејќи компромитирани VPN сметки.
Уникатната карактеристика на Cactus ransomware лежи во неговата способност за само-шифрирање. За да го постигнат ова, напаѓачите користат скрипта за преземање на енкодерот со помош на 7-Zip, популарна алатка за компресија.
Овој неконвенционален пристап ги вознемири експертите за сајбер безбедност, кои предупредуваат дека организациите треба да бидат на висока готовност за таквите закани.
За да се максимизира штетата, Cactus ransomware работи скрипта што ги деинсталира најчесто користените антивирусни програми. Пред да се шифрираат датотеките на компромитирани машини, податоците се ексфилтрираат на облак сервер и потоа се започнува процесот на шифрирање.
Cactus користи повеќе екстензии за шифрирани датотеки. Кога подготвува датотека за шифрирање, Cactus ја менува својата екстензија во .CTS0, а по шифрирањето во .CTS1.
Оние кои стојат зад оваа кампања сè уште не создале посебна веб-страница за објавување на украдените податоци, како што најчесто прават слични групи за да извршат дополнителен притисок врз жртвите кои одбиваат да платат. Сепак, нивната белешка за откуп експлицитно споменува објавување на украдени документи доколку жртвите одбијат да го платат откупот. Засега нема детали за тоа дали хакерите го одржуваат зборот и го обезбедуваат декрипторот на жртвите кои плаќаат.