Cactus: Neue trickreiche Ransomware verbreitet sich schnell

Auf Opfer zugeschnittene Cactus-Angriffe laufen derzeit über Fortinet VPN-Server

[datensicherheit.de, 19.06.2023] Laut einer aktuellen Meldung der PSW GROUP treibt eine neue Ransomware-Bande namens „Cactus“ ihr Unwesen in der digitalen Welt: Diese Cyber-Kriminellen hätten es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. IT-Sicherheitsexpertin Patrycja Schrenk warnt: „Die ,Cactus’-Ransomware kann sich zudem offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig.“ Der Name „Cactus“ leitet sich demnach von dem angegebenen Dateinamen „cAcTuS.readme.txt“ und dem Namen in der Lösegeldforderung ab. Bislang sei noch nicht bekannt, wer hinter dieser neuen Ransomware-Bande steckt. „Die Ermittlungen laufen auf Hochtouren.“

Foto: PSW GROUP

Patrycja Schrenk rät, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten zu überwachen…

Im Fokus eines Cactus-Angriffs stehen Schwachstellen in bekannten VPN-Servern von Fortinet

„Was ,Cactus’, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen. Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet“, erläutert die Geschäftsführerin der PSW GROUP:

Über den VPN-Server griffen die Cyber-Kriminellen auf das Netzwerk zu und führten ein Batch-Script aus, durch welches die eigentliche Ransomware geladen werde. „Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert.“ Mithilfe eines speziellen Schlüssels in der Befehlszeile könnten die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr hätten.

Die Cactus-Ransomware-Bande erhält weiteres Druckmittel

„Doch damit nicht genug“, so Schrenk – sie führt weiter aus: „Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch erhält die Ransomware-Bande ein weiteres Druckmittel. Denn erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyber-Kriminellen damit drohen, die erbeuteten Daten zu veröffentlichen.“

„Cactus“ habe vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier. Laut verschiedener Berichte sollten die Forderungen bei bisherigen „Cactus“-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den „Cactus“-Angriffen betroffen sind, ist laut Schrenk noch nicht bekannt – „bisher wurden noch keine sensiblen Daten veröffentlicht“.

Ransomware Cactus äußerst gefährlich

„Die Ransomware ,Cactus’ ist äußerst gefährlich, da gängige Viren-Scanner diese aufgrund der verschlüsselten Angriffe nur schwer erkennen können“, unterstreicht Schrenk und rät: „Deshalb ist es umso wichtiger, sich vor Angriffen mit Präventivmaßnahmen zu schützen. Dazu gehört es, Anwendungen und öffentlich zugängliche Systeme stets auf dem neuesten Stand zu halten und Patches umgehend einzuspielen.“

Auch rät sie abschließend, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere „PowerShell“, zu überwachen und schnell zu reagieren, einen Passwort-Manager zu implementieren sowie eine Zwei-Faktor-Authentifizierung zum Standard zu machen. Ergänzend lohne sich die regelmäßige Überprüfung der Administrator- und Dienstkonten. Die Erstellung regelmäßiger Backups sollte obligatorisch sein.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 13.06.2023
IT-Security / Ransomware Cactus: Angriffe auf VPN-Schwachstellen