Istraživači iz kompanije za korporativne istrage i konsalting rizika Kroll otkrili su novu, sofisticiranu kampanju ransomwarea pod nazivom Cactus. Riječ je o ciljanim virus napadima na velike komercijalne subjekte koji se realizuju iskorištavanjem ranjivosti u popularnim VPN uređajima, zahvaljujući kojima napadači dobijaju inicijalni pristup mrežama žrtava.
Operacija ransomwarea Cactus je najvjerovatnije počela u martu. Žrtve su ucjenjene da isplate velike svote novca na ime otkupnine.
Napadači koriste taktike uobičajene u ransomware napadima - šifrovanje i krađu fajlova. Ali ono po čemu se razlikuju od drugih je nova taktika koju koriste da bi izbjegli otkrivanje - ransomware Cactus se sam šifruje da ga antivirusni softver ne bi otkrio, što borbu protiv njega čini značajno težom.
Stručnjaci za cyber sigurnost u Krollu otkrili su da se Cactus ransomware infiltrira u mreže svojih žrtava iskorištavajući sigurnosne propuste u VPN uređajima. Istraživači su primijetili da su hakeri uspjeli da uđu u ove mreže preko VPN servera koristeći kompromitovane VPN naloge.
Jedinstvena karakteristika Cactus ransomwarea leži u njegovoj sposobnosti samošifrovanja. Da bi to postigli, napadači koriste skriptu za preuzimanje šifratora uz pomoć 7-Zip, popularnog alata za kompresiju.
Ovaj nekonvencionalni pristup je uzbunio stručnjake za cyber sigurnosti, koji upozoravaju organizacije da moraju biti u stanju pripravnosti zbog takvih neuhvatljivih prijetnji.
Da bi maksimizirao štetu, Cactus ransomware pokreće skriptu koja deinstalira najčešće korištene antivirusne programe. Prije šifrovanja fajlova na kompromitovanim mašinama, podaci se eksfiltriraju na server u oblaku, a zatim se pokreće proces šifrovanja.
Cactus koristi više ekstenzija za šifrovane fajlove. Kada priprema fajl za šifrovanje, Cactus menja njegovu ekstenziju u .CTS0, a nakon šifrovanja u .CTS1.
Oni koji stoje iza ove kampanje još uvijek nisu napravili namjensku web stranicu za objavljivanje ukradenih podataka, kao što to uobičajeno rade slične grupe da bi izvršile dodatni pritisak na žrtve koje odbijaju da plate. Međutim, njihova poruka o otkupnini eksplicitno pominje objavljivanje ukradenih dokumenata ako žrtve odbiju da plate otkup. Za sada nema detalja o tome da li hakeri drže riječ i daju dekriptor žrtvama koje plate.