Cactus: Ransomware-Newcomer macht bedrohliche Karriere

Laut Logpoint hat sich Cactus zu einer ausgeklügelten Ransomware entwickelt

[datensicherheit.de, 01.12.2023] „Cactus“ soll im März 2023 erstmalig aufgetaucht sein und seitdem schon Daten von ein paar weltweit bekannten Unternehmen infizieren können. Logpoint hat nach einer aktuellen eigenen Meldung Taktiken, Techniken und Prozeduren (TTPs) sowie „Indicators of Compromise“ (IoCs) analysiert, um Abwehrmaßnahmen zu entwickeln, denn „Cactus“ als Ransomware-Neuling zeichnet sich demnach durch ausgefeilten TTPs aus.

Foto: Logpoint

Bibek Thapa Magar rät: Im Falle eines ,Cactus“-Angriffs umgehend VPNs, Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren!

Cactus tauchte erstmals im März 2023 auf

„,Cactus‘ hat sich zu einer ausgeklügelten Ransomware entwickelt. Der Newcomer tauchte erstmals im März 2023 auf und hat sich in die ,Top 10‘ der Malware-Gruppen eingereiht, die die meisten monatlichen Opfer provozierten; im November lag die Ransomware laut den Nachforschungen der NCC Group mit 58 Opfern auf Platz 7.“ Diese Gruppe konzentriere sich auf hohe Summen und hat es auf große Unternehmen abgesehen.

Bibek Thapa Magar, „Security Analytics Engineer“ bei Logpoint, erläutert: „,Cactus’ ist ein gutes Beispiel für Ransomware-Gruppen, die bei ihren Angriffen immer ausgefeilte TTPs einsetzen. Was in diesem Fall auffällt, ist, dass die Malware sich selbst verschlüsselt, um der Erkennung zu entgehen.“ Die geschmeidige Art und Weise zur Umgehung der Verteidigung zeige, dass diese Gruppe ihr Spiel gut beherrsche. „,Cactus’ hat sich schnell einen Namen gemacht, indem es Doppelte Erpressung einsetzt, sensible Daten kompromittiert und den Opfern nur wenige Möglichkeiten zur Abwehr lässt“, warnt Magar.

Cactus – eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie automatischer Verschlüsselung und fortlaufender Änderung der Dateierweiterungen

„Cactus“ sei eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie der automatischen Verschlüsselung und einer fortlaufenden Änderung der Dateierweiterungen nach der Verschlüsselung, wodurch es schwieriger werde, betroffene Dateien zu identifizieren. Diese Ransomware verwende den bekannten und leicht zu entpackenden „UPX“-Packer und unterteile verschlüsselte Dateien in Mikropuffer, möglicherweise, um die Verwaltung der verschlüsselten Datenströme zu beschleunigen.

Logpoint hat nach eigenen Angaben einen Bericht zusammengestellt, welcher „die von ,Cactus’ verwendeten TTPs und IoCs hervorhebt, um Warnregeln zur Erkennung der von der Gruppe verwendeten Methoden zu erstellen“. „Cactus“ nutze bekannte Schwachstellen in „VPN-Appliances“ aus, um sich einen ersten Zugang zu verschaffen und mittels SSH Befehle und Kontrolle zu erlangen. „Die Gruppe versucht, LSASS und Anmeldedaten aus Web-Browsern auszulesen, um ihre Rechte zu erweitern. Schließlich verschafft sich ,Cactus’ mit ,Splashtop’ oder ,AnyDesk’ Zugang zu den Zielcomputern und erstellt mit ,Chisel’ einen Proxy zwischen den infizierten Hosts, bevor er die Dateien verschlüsselt.“

Cactus mahnt potenzielle Opfer: Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware!

Magar betont: „,Cactus’ ist eine gute Erinnerung daran, dass grundlegende Cyber-Hygiene wichtig ist, aber es zeigt auch, dass Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware sind!“ Er rät abschließend: „Wenn eine Aktivität entdeckt wird, sollten Sicherheitsanalysten diese untersuchen und sicherstellen, dass sie sich nicht ausbreitet, indem sie virtuelle private Netzwerke (VPNs), Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren, bevor sie sich um die Eindämmung, Auslöschung und Wiederherstellung kümmern, um die Auswirkungen zu minimieren.“

Logpoints Sicherheitsplattform, „Converged SIEM“, enthalte umfangreiche Werkzeuge und Funktionen zur Identifizierung, Bewertung und Eindämmung der Auswirkungen von „Cactus“-Ransomware. Zusätzlich zu einem Paket von Warnregeln, welche bei der Erkennung von „Cactus“-Aktivitäten helfen sollen, bietet Logpoint nach eigenen Angaben Funktionen, „die es Sicherheitsteams ermöglichen, wesentliche Incident-Response-Verfahren zu automatisieren“.

Weitere Informationen zum Thema:

LOGPOINT, Bibek Thapa Magar, 24.11.2023
Cactus, a new player in the ransomware game – Is it the last? / Fast Facts