Aktuelles, Branche, Studien - geschrieben von dp am Freitag, Dezember 1, 2023 21:44 - noch keine Kommentare
Cactus: Ransomware-Newcomer macht bedrohliche Karriere
Laut Logpoint hat sich Cactus zu einer ausgeklügelten Ransomware entwickelt
[datensicherheit.de, 01.12.2023] „Cactus“ soll im März 2023 erstmalig aufgetaucht sein und seitdem schon Daten von ein paar weltweit bekannten Unternehmen infizieren können. Logpoint hat nach einer aktuellen eigenen Meldung Taktiken, Techniken und Prozeduren (TTPs) sowie „Indicators of Compromise“ (IoCs) analysiert, um Abwehrmaßnahmen zu entwickeln, denn „Cactus“ als Ransomware-Neuling zeichnet sich demnach durch ausgefeilten TTPs aus.
Bibek Thapa Magar rät: Im Falle eines ,Cactus“-Angriffs umgehend VPNs, Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren!
Cactus tauchte erstmals im März 2023 auf
„,Cactus‘ hat sich zu einer ausgeklügelten Ransomware entwickelt. Der Newcomer tauchte erstmals im März 2023 auf und hat sich in die ,Top 10‘ der Malware-Gruppen eingereiht, die die meisten monatlichen Opfer provozierten; im November lag die Ransomware laut den Nachforschungen der NCC Group mit 58 Opfern auf Platz 7.“ Diese Gruppe konzentriere sich auf hohe Summen und hat es auf große Unternehmen abgesehen.
Bibek Thapa Magar, „Security Analytics Engineer“ bei Logpoint, erläutert: „,Cactus’ ist ein gutes Beispiel für Ransomware-Gruppen, die bei ihren Angriffen immer ausgefeilte TTPs einsetzen. Was in diesem Fall auffällt, ist, dass die Malware sich selbst verschlüsselt, um der Erkennung zu entgehen.“ Die geschmeidige Art und Weise zur Umgehung der Verteidigung zeige, dass diese Gruppe ihr Spiel gut beherrsche. „,Cactus’ hat sich schnell einen Namen gemacht, indem es Doppelte Erpressung einsetzt, sensible Daten kompromittiert und den Opfern nur wenige Möglichkeiten zur Abwehr lässt“, warnt Magar.
Cactus – eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie automatischer Verschlüsselung und fortlaufender Änderung der Dateierweiterungen
„Cactus“ sei eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie der automatischen Verschlüsselung und einer fortlaufenden Änderung der Dateierweiterungen nach der Verschlüsselung, wodurch es schwieriger werde, betroffene Dateien zu identifizieren. Diese Ransomware verwende den bekannten und leicht zu entpackenden „UPX“-Packer und unterteile verschlüsselte Dateien in Mikropuffer, möglicherweise, um die Verwaltung der verschlüsselten Datenströme zu beschleunigen.
Logpoint hat nach eigenen Angaben einen Bericht zusammengestellt, welcher „die von ,Cactus’ verwendeten TTPs und IoCs hervorhebt, um Warnregeln zur Erkennung der von der Gruppe verwendeten Methoden zu erstellen“. „Cactus“ nutze bekannte Schwachstellen in „VPN-Appliances“ aus, um sich einen ersten Zugang zu verschaffen und mittels SSH Befehle und Kontrolle zu erlangen. „Die Gruppe versucht, LSASS und Anmeldedaten aus Web-Browsern auszulesen, um ihre Rechte zu erweitern. Schließlich verschafft sich ,Cactus’ mit ,Splashtop’ oder ,AnyDesk’ Zugang zu den Zielcomputern und erstellt mit ,Chisel’ einen Proxy zwischen den infizierten Hosts, bevor er die Dateien verschlüsselt.“
Cactus mahnt potenzielle Opfer: Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware!
Magar betont: „,Cactus’ ist eine gute Erinnerung daran, dass grundlegende Cyber-Hygiene wichtig ist, aber es zeigt auch, dass Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware sind!“ Er rät abschließend: „Wenn eine Aktivität entdeckt wird, sollten Sicherheitsanalysten diese untersuchen und sicherstellen, dass sie sich nicht ausbreitet, indem sie virtuelle private Netzwerke (VPNs), Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren, bevor sie sich um die Eindämmung, Auslöschung und Wiederherstellung kümmern, um die Auswirkungen zu minimieren.“
Logpoints Sicherheitsplattform, „Converged SIEM“, enthalte umfangreiche Werkzeuge und Funktionen zur Identifizierung, Bewertung und Eindämmung der Auswirkungen von „Cactus“-Ransomware. Zusätzlich zu einem Paket von Warnregeln, welche bei der Erkennung von „Cactus“-Aktivitäten helfen sollen, bietet Logpoint nach eigenen Angaben Funktionen, „die es Sicherheitsteams ermöglichen, wesentliche Incident-Response-Verfahren zu automatisieren“.
Weitere Informationen zum Thema:
LOGPOINT, Bibek Thapa Magar, 24.11.2023
Cactus, a new player in the ransomware game – Is it the last? / Fast Facts
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren