Aktuelles, Branche, Studien - geschrieben von dp am Freitag, Dezember 1, 2023 21:44 - noch keine Kommentare
Cactus: Ransomware-Newcomer macht bedrohliche Karriere
Laut Logpoint hat sich Cactus zu einer ausgeklügelten Ransomware entwickelt
[datensicherheit.de, 01.12.2023] „Cactus“ soll im März 2023 erstmalig aufgetaucht sein und seitdem schon Daten von ein paar weltweit bekannten Unternehmen infizieren können. Logpoint hat nach einer aktuellen eigenen Meldung Taktiken, Techniken und Prozeduren (TTPs) sowie „Indicators of Compromise“ (IoCs) analysiert, um Abwehrmaßnahmen zu entwickeln, denn „Cactus“ als Ransomware-Neuling zeichnet sich demnach durch ausgefeilten TTPs aus.
Bibek Thapa Magar rät: Im Falle eines ,Cactus“-Angriffs umgehend VPNs, Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren!
Cactus tauchte erstmals im März 2023 auf
„,Cactus‘ hat sich zu einer ausgeklügelten Ransomware entwickelt. Der Newcomer tauchte erstmals im März 2023 auf und hat sich in die ,Top 10‘ der Malware-Gruppen eingereiht, die die meisten monatlichen Opfer provozierten; im November lag die Ransomware laut den Nachforschungen der NCC Group mit 58 Opfern auf Platz 7.“ Diese Gruppe konzentriere sich auf hohe Summen und hat es auf große Unternehmen abgesehen.
Bibek Thapa Magar, „Security Analytics Engineer“ bei Logpoint, erläutert: „,Cactus’ ist ein gutes Beispiel für Ransomware-Gruppen, die bei ihren Angriffen immer ausgefeilte TTPs einsetzen. Was in diesem Fall auffällt, ist, dass die Malware sich selbst verschlüsselt, um der Erkennung zu entgehen.“ Die geschmeidige Art und Weise zur Umgehung der Verteidigung zeige, dass diese Gruppe ihr Spiel gut beherrsche. „,Cactus’ hat sich schnell einen Namen gemacht, indem es Doppelte Erpressung einsetzt, sensible Daten kompromittiert und den Opfern nur wenige Möglichkeiten zur Abwehr lässt“, warnt Magar.
Cactus – eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie automatischer Verschlüsselung und fortlaufender Änderung der Dateierweiterungen
„Cactus“ sei eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie der automatischen Verschlüsselung und einer fortlaufenden Änderung der Dateierweiterungen nach der Verschlüsselung, wodurch es schwieriger werde, betroffene Dateien zu identifizieren. Diese Ransomware verwende den bekannten und leicht zu entpackenden „UPX“-Packer und unterteile verschlüsselte Dateien in Mikropuffer, möglicherweise, um die Verwaltung der verschlüsselten Datenströme zu beschleunigen.
Logpoint hat nach eigenen Angaben einen Bericht zusammengestellt, welcher „die von ,Cactus’ verwendeten TTPs und IoCs hervorhebt, um Warnregeln zur Erkennung der von der Gruppe verwendeten Methoden zu erstellen“. „Cactus“ nutze bekannte Schwachstellen in „VPN-Appliances“ aus, um sich einen ersten Zugang zu verschaffen und mittels SSH Befehle und Kontrolle zu erlangen. „Die Gruppe versucht, LSASS und Anmeldedaten aus Web-Browsern auszulesen, um ihre Rechte zu erweitern. Schließlich verschafft sich ,Cactus’ mit ,Splashtop’ oder ,AnyDesk’ Zugang zu den Zielcomputern und erstellt mit ,Chisel’ einen Proxy zwischen den infizierten Hosts, bevor er die Dateien verschlüsselt.“
Cactus mahnt potenzielle Opfer: Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware!
Magar betont: „,Cactus’ ist eine gute Erinnerung daran, dass grundlegende Cyber-Hygiene wichtig ist, aber es zeigt auch, dass Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware sind!“ Er rät abschließend: „Wenn eine Aktivität entdeckt wird, sollten Sicherheitsanalysten diese untersuchen und sicherstellen, dass sie sich nicht ausbreitet, indem sie virtuelle private Netzwerke (VPNs), Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren, bevor sie sich um die Eindämmung, Auslöschung und Wiederherstellung kümmern, um die Auswirkungen zu minimieren.“
Logpoints Sicherheitsplattform, „Converged SIEM“, enthalte umfangreiche Werkzeuge und Funktionen zur Identifizierung, Bewertung und Eindämmung der Auswirkungen von „Cactus“-Ransomware. Zusätzlich zu einem Paket von Warnregeln, welche bei der Erkennung von „Cactus“-Aktivitäten helfen sollen, bietet Logpoint nach eigenen Angaben Funktionen, „die es Sicherheitsteams ermöglichen, wesentliche Incident-Response-Verfahren zu automatisieren“.
Weitere Informationen zum Thema:
LOGPOINT, Bibek Thapa Magar, 24.11.2023
Cactus, a new player in the ransomware game – Is it the last? / Fast Facts
Aktuelles, Experten - Nov 1, 2024 20:21 - noch keine Kommentare
Festnahmen in Hessen und Rheinland-Pfalz: BKA meldet erneuten Schlag gegen Underground Economy im Internet
weitere Beiträge in Experten
- Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
Branche, Aktuelles - Nov 1, 2024 20:32 - noch keine Kommentare
Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
weitere Beiträge in Branche
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
- Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen
- Kaspersky-Entdeckung: Spyware-Verbreitung über Telegram
- it-sa Expo&Congress 2024 schloss mit starkem Andrang: 25.830 Fachbesucher und 897 Aussteller
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren