logo SOS Ransomware
Kontakt 24/7

Cactus Ransomware eine neue knifflige Bedrohung für die Cybersicherheit

Die Ransomware Cactus, ein relativ neuer Akteur in der Cyberbedrohungsarena, gibt den Sicherheitsexperten zunehmend Anlass zur Sorge. Diese Ransomware zeichnet sich durch ihre Fähigkeit aus, Daten zu stehlen und Dateien zu verschlüsseln, während sie einzigartige Methoden anwendet, um eine Entdeckung zu verhindern. Cactus konzentriert sich vor allem auf große kommerzielle Organisationen. Dieser gezielte Ansatz und seine ausgeklügelte Ausweichmethode machen ihn besonders gefährlich. Wenn Sie die Bedrohungen durch Cactus Ransomware und seine operativen Taktiken besser verstehen, können Sie Präventionsstrategien entwickeln, um sich vor solchen Angriffen zu schützen.

Das jüngste Auftreten und die bedeutenden Auswirkungen von Cactus Ransomware

Cactus Ransomware wurde erstmals im März 2023 identifiziert und erregte aufgrund seines einzigartigen Ansatzes und seiner spezifischen Zielgruppe schnell Aufmerksamkeit. Cactus zielt vor allem auf große Geschäftseinheiten ab, insbesondere auf solche, die Fernzugriffsdienste nutzen. Diese Wahl ist nicht unbedeutend, da diese Unternehmen häufig über sensible Daten verfügen und daher ein beliebtes Ziel für Cyberkriminelle sind.

Diese Organisationen sind aufgrund ihrer Abhängigkeit von potenziell unsicheren Netzwerken besonders anfällig für Cactus-Angriffe. Da Cactus VPN-Schwachstellen ausnutzt, kann er diese Netzwerke infiltrieren und seine bösartigen Operationen durchführen. Die Bedrohung ist umso ernster, als Cactus offenbar keine Leaking Site verwendet, was die Aufdeckung seiner Aktivitäten erschwert.

Die Fähigkeit von Cactus, Schwachstellen in VPNs auszunutzen und unerkannt in Netzwerke einzudringen, erhöht das Risiko größerer Störungen und finanzieller Verluste für die betroffenen Unternehmen.

Technische Analyse der Cactus-Ransomware

Sie zeichnet sich dadurch aus, dass sie fortgeschrittene Verschlüsselungstechniken verwendet und VPN-Schwachstellen ausnutzt, um sich Zugang zu den Netzwerken ihrer Ziele zu verschaffen. Er verwendet ein Batch-Skript und das Komprimierungswerkzeug 7-Zip, um seine Verschlüsselungsbinärdatei zu erhalten. Diese Technik macht es ihm leichter, unter dem Radar der gängigen Sicherheitssoftware zu fliegen.

1. Einzigartige Verschlüsselungstechniken

Cactus Ransomware verwendet ausgeklügelte Verschlüsselungsmethoden, um seine Binärdatei zu schützen und die Erkennung durch Antivirenprogramme zu verhindern. Sie vervielfältigt sich über ein Batch-Skript und löscht dann das ursprüngliche ZIP-Archiv. Dieser komplexe Ansatz erschwert die Erkennung und Analyse der Ransomware durch herkömmliche Sicherheitstools.

2. Änderungen an Dateierweiterungen und Verschlüsselungsprozesse.

Sobald die Ransomware ausgeführt wurde, ändert sie die Dateierweiterungen der Zieldaten von „.CTS0“ vor der Verschlüsselung auf „.CTS1“ nach der Verschlüsselung. Zur Verschlüsselung der Dateien verwendet Cactus ransomware einen einzigartigen AES-Schlüssel, der nur den Angreifern bekannt ist und zum Entschlüsseln der Konfigurationsdatei der Ransomware sowie des öffentlichen RSA-Schlüssels, der zur Verschlüsselung der Dateien verwendet wird, benötigt wird. Außerdem hat sie einen Schnellmodus, in dem sie die Dateien zweimal verschlüsselt und nach jedem Prozess eine neue Erweiterung hinzufügt (.CTS1.CTS7), wenn sie im Schnell- und im Normalmodus ausgeführt wird.

3. Ausnutzung von Schwachstellen in Virtual Private Networks (VPN).

Cactus nutzt bekannte Schwachstellen in VPNs aus, um anfänglich auf das Netzwerk des Opfers zuzugreifen. Durch die Nutzung dieser Schwachstellen verschafft sich der Bedrohungsakteur Zugang zu den Netzwerken wichtiger Wirtschaftsorganisationen. Nach dem ersten Zugriff nutzen die Angreifer eine geplante Aufgabe für den persistenten Zugriff und verwenden eine SSH-Backdoor, die sie später von einem Command-and-Control-Server aus erreichen können.

cactus ransomware

Operative Taktiken von Cactus Ransomware

1. Unautorisierter Zugriff und Infiltration des Netzwerks

Die Cactus Ransomware nutzt Techniken für den unbefugten Zugriff, um Unternehmensnetzwerke zu infiltrieren. Indem sie Schwachstellen in VPNs ausnutzt, gelingt es ihr, in die Zielsysteme einzudringen, ohne Verdacht zu erregen. Ist er erst einmal drin, breitet er sich seitwärts aus und nutzt Schwachstellen in der Netzwerksicherheit, schwache Passwörter oder nicht aktualisierte Software aus, um die Kontrolle über mehrere Rechner zu übernehmen. Diese Fähigkeit, sich unauffällig in Netzwerken zu bewegen, macht ihn besonders furchteinflößend.

2. Nutzung legitimer Tools für bösartige Zwecke.

Cactus zeichnet sich dadurch aus, dass er legitime Tools verwendet, um seine bösartigen Aktivitäten durchzuführen. Er verwendet Tools wie Rclone und geplante Aufgaben, um auf infizierten Systemen eine Persistenz aufzubauen und sicherzustellen, dass er seine Operationen auch nach einem Neustart des Systems fortsetzen kann. Mit dieser Strategie bleibt sie verborgen und erschwert es den IT-Sicherheitsteams, die Ransomware zu erkennen und zu entfernen.

3. Datenexfiltration und doppelte Erpressungstaktiken.

Bevor Cactus Ransomware Dateien verschlüsselt, exfiltriert sie sensible Daten aus kompromittierten Systemen. Diese gestohlenen Daten werden dann als Hebel verwendet, um die Opfer weiter zu erpressen oder im Dark Web zu verkaufen. Neben der Forderung nach einem Lösegeld für die Entschlüsselung der Daten drohen die Cyberkriminellen damit, die gestohlenen Informationen offenzulegen oder zu verkaufen, wenn das Lösegeld nicht gezahlt wird – eine bekannte Taktik der doppelten Erpressung. Dieser Ansatz erhöht den Druck auf die Opfer und macht die Bewältigung des Sicherheitsvorfalls noch komplizierter.

Die Forscher von Kroll Cyber Threat Intelligence haben in ihrem jüngsten Bericht ein Diagramm erstellt, das ein besseres Verständnis des binären Ausführungsablaufs von Cactus ermöglicht.

Cactus Ransomware infographie
Der Ausführungsablauf von Cactus Ransomware. (Kredit: Kroll)

Strategien zur Verhinderung und Abschwächung

1. Bedeutung eines regelmäßigen Patchmanagements.

Ein regelmäßiges Patch-Management ist entscheidend für den Schutz von Netzwerken vor Ransomware wie Cactus ransomware. Wie die Analyse von Kroll zeigt, nutzt Cactus dokumentierte Schwachstellen in VPN-Geräten aus, um sich Zugang zu Netzwerken zu verschaffen. Regelmäßige System- und Softwareaktualisierungen können solche Eindringlinge verhindern, indem sie bekannte Sicherheitslücken beheben.

2. Netzwerküberwachung und Penetrationstests

Die kontinuierliche Überwachung des Netzwerks ist entscheidend, um verdächtige Aktivitäten zu erkennen. Regelmäßige Penetrationstests können ebenfalls dazu beitragen, Schwachstellen zu identifizieren. Eine effektive Überwachung kann eine verdächtige Nutzung von Tools und andere Anomalien erkennen, sodass schnell eingegriffen werden kann.

3. Empfehlungen für Unternehmen und Einzelpersonen

Für Unternehmen:

  1. Regelmäßige Updates und Patches: Stellen Sie sicher, dass alle Systeme und Software auf dem neuesten Stand sind, um ausnutzbare Schwachstellen zu vermeiden.
  2. Mitarbeiterschulung: Schärfen Sie das Bewusstsein Ihrer Mitarbeiter für Sicherheitsrisiken, einschließlich Phishing und anderer Methoden des Social Engineering.
  3. Regelmäßige Back ups: Führen Sie regelmäßig Backups durch und stellen Sie sicher, dass diese offline oder in einer sicheren Umgebung gespeichert werden.

Für Privatpersonen:

  1. Sicherheitsupdates: Halten Sie Ihre Geräte und Software auf dem neuesten Stand, um vor bekannten Schwachstellen zu schützen.
  2. Vorsicht im Internet: Seien Sie wachsam gegenüber verdächtigen E-Mails und Links und verwenden Sie zuverlässige Antivirenlösungen.
  3. Backups: Sichern Sie Ihre wichtigen Daten regelmäßig auf externen Laufwerken oder in sicheren Cloud-Diensten.

Cactus Ransomware stellt eine ausgeklügelte und sich entwickelnde Bedrohung in der Cyberbedrohungslandschaft dar. Ihre Fähigkeit, Schwachstellen in VPNs auszunutzen, legitime Tools für bösartige Aktivitäten zu verwenden und doppelte Erpressungsangriffe durchzuführen, macht sie zu einem gefährlichen Gegner für Organisationen jeder Größe. Die beste Verteidigung gegen Bedrohungen wie Cactus ist und bleibt eine Kombination aus proaktiven Maßnahmen.

Um im Falle eines Angriffs Hilfe zu erhalten, wenden Sie sich bitte an unsere Experten für Datenrettung. SOS Ransomware kann Ihnen helfen, Ihre Dateien wiederherzustellen und zukünftige Angriffe von Cactus Ransomware zu verhindern.

Zur Vertiefung des Themas: Ein tiefer Einblick in die Cactus Ransomware.

Eine technische Analyse von Cactus Ransomware durch SecurityScorecard (auf Englisch).

Update vom 30.01.2024:

Cactus sticht wieder zu! Schneider Electric ist das neueste französische Opfer auf seiner Abschussliste. Erkunden Sie unseren neuesten Artikel, um die Entwicklung dieser Cyberangriffe genau zu verfolgen und über die anhaltende Bedrohung durch Cactus auf dem Laufenden zu bleiben.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It