logo SOS Ransomware
Emergencia 24/7

El ransomware Cactus: una nueva y espinosa amenaza para la ciberseguridad

El ransomware Cactus, un actor relativamente nuevo en el ámbito de las ciberamenazas, está causando una creciente preocupación entre los expertos en seguridad. Este ransomware destaca por su capacidad para robar datos y cifrar archivos, al tiempo que emplea métodos únicos para evitar ser detectado. Cactus se centra principalmente en grandes organizaciones comerciales. Este enfoque selectivo y su sofisticado método de evasión lo hacen especialmente peligroso. Un mejor conocimiento de las amenazas que plantea el ransomware Cactus y de sus tácticas operativas permite desarrollar estrategias de prevención para protegerse de este tipo de ataques.

La reciente aparición y el importante impacto del ransomware Cactus

Identificado por primera vez en marzo de 2023, el ransomware Cactus atrajo rápidamente la atención debido a su enfoque único y su objetivo específico. Cactus se dirige principalmente a grandes entidades comerciales, en particular a las que utilizan servicios de acceso remoto. Esta elección no es baladí, ya que estas empresas suelen poseer datos sensibles y, por tanto, son objetivos prioritarios para los ciberdelincuentes.

Estas organizaciones son especialmente vulnerables a los ataques de Cactus debido a su dependencia de redes potencialmente inseguras. Cactus aprovecha las vulnerabilidades de las VPN para infiltrarse en estas redes y llevar a cabo sus operaciones maliciosas. La amenaza es aún más grave por el hecho de que Cactus no parece utilizar un sitio de fuga de datos, lo que dificulta la detección de sus actividades.

La capacidad de Cactus para explotar las vulnerabilidades de las VPN e infiltrarse en las redes sin ser detectado aumenta el riesgo de que las empresas afectadas sufran graves trastornos y pérdidas económicas.

Análisis técnico del ransomware Cactus

El ransomware Cactus se distingue por el uso de técnicas avanzadas de cifrado y la explotación de vulnerabilidades de VPN para acceder a las redes de sus objetivos. Utiliza un script por lotes y la herramienta de compresión 7-Zip para obtener su binario de cifrado. Esta técnica facilita que pase desapercibido para los programas de seguridad más comunes.

1. Técnicas de cifrado únicas

El ransomware Cactus utiliza sofisticados métodos de cifrado para proteger su binario y evitar ser detectado por el software antivirus. Se despliega mediante un script por lotes y, a continuación, elimina el archivo ZIP original. Este complejo enfoque dificulta la detección y el análisis del ransomware por parte de las herramientas de seguridad tradicionales.

2. Modificaciones en las extensiones de los archivos y en el proceso de cifrado

Una vez ejecutado, el ransomware cambia las extensiones de archivo de los datos objetivo de «.CTS0» antes del cifrado a «.CTS1» después del cifrado. Para cifrar los archivos, el ransomware Cactus utiliza una clave AES única, conocida sólo por los atacantes, que es necesaria para descifrar el archivo de configuración del ransomware y la clave pública RSA utilizada para cifrar los archivos. Además, tiene un modo rápido en el que cifra los archivos dos veces, añadiendo una nueva extensión después de cada proceso (.CTS1.CTS7) cuando se ejecuta en los modos rápido y normal.

3. Explotación de vulnerabilidades de redes privadas virtuales (VPN)

Cactus aprovecha vulnerabilidades conocidas de VPN para obtener acceso inicial a la red de la víctima. Utilizando estas vulnerabilidades, el actor de la amenaza consigue acceder a las redes de importantes organizaciones comerciales. Una vez obtenido el acceso inicial, los atacantes utilizan una tarea programada para el acceso persistente y emplean una puerta trasera SSH a la que pueden acceder posteriormente desde un servidor de mando y control.

cactus ransomware

Tácticas operativas del ransomware Cactus

1. Acceso no autorizado e infiltración en la red

El ransomware Cactus utiliza técnicas de acceso no autorizado para infiltrarse en las redes corporativas. Aprovechando las vulnerabilidades de las VPN, es capaz de infiltrarse en los sistemas objetivo sin levantar sospechas. Una vez dentro, se propaga lateralmente, aprovechando puntos débiles en la seguridad de la red, contraseñas débiles o software obsoleto para tomar el control de varias máquinas. Esta capacidad de moverse discretamente dentro de las redes lo hace especialmente formidable.

2. Uso de herramientas legítimas con fines maliciosos

Lo que distingue a Cactus es el uso de herramientas legítimas para llevar a cabo sus actividades maliciosas. Utiliza herramientas como Rclone y tareas programadas para establecer la persistencia en los sistemas infectados y asegurarse de que puede continuar sus operaciones incluso después de reiniciar el sistema. Esta estrategia le permite permanecer oculto y dificulta la detección y eliminación del ransomware por parte de los equipos de seguridad informática.

3. Tácticas de exfiltración de datos y doble extorsión

Antes de cifrar los archivos, el ransomware Cactus extrae datos confidenciales de los sistemas comprometidos. Estos datos robados se utilizan para extorsionar a las víctimas o para venderlos en la web oscura. Además de pedir un rescate para descifrar los datos, los ciberdelincuentes amenazan con filtrar o vender la información robada si no se paga el rescate, una conocida táctica de doble extorsión. Este enfoque aumenta la presión sobre las víctimas y hace aún más compleja la gestión del incidente de seguridad.

En su último informe, los investigadores de Kroll Cyber Threat Intelligence han elaborado un diagrama para comprender mejor el proceso de ejecución del binario de Cactus.

Cactus Ransomware infographie
Flujo de ejecución del ransomware Cactus. (Crédito: Kroll)

Estrategias de prevención y mitigación

1. Importancia de la gestión periódica de parches

La gestión periódica de parches es crucial para proteger las redes contra ransomware como Cactus. Como muestra el análisis de Kroll, Cactus aprovecha vulnerabilidades documentadas en dispositivos VPN para acceder a las redes. Las actualizaciones periódicas del sistema y del software pueden evitar este tipo de intrusiones corrigiendo las vulnerabilidades de seguridad conocidas.

2. Supervisión de la red y pruebas de penetración

La supervisión continua de la red es esencial para detectar actividades sospechosas. Las pruebas de penetración periódicas también pueden ayudar a identificar vulnerabilidades. Una supervisión eficaz puede detectar el uso sospechoso de estas herramientas y otras anomalías, permitiendo una intervención rápida.

3. Recomendaciones para empresas y particulares

Para las empresas:

  1. Actualizaciones y parches periódicos: asegúrese de que todos los sistemas y programas están actualizados para evitar vulnerabilidades explotables.
  2. Formación de los empleados: sensibilice a su personal sobre los riesgos de seguridad, incluidas las técnicas de phishing y otros métodos de ingeniería social.
  3. Copias de seguridad periódicas: haga copias de seguridad periódicas y asegúrese de que se almacenan sin conexión o en un entorno seguro.

Para particulares :

  1. Actualizaciones de seguridad: mantenga actualizados sus dispositivos y programas informáticos para protegerse de vulnerabilidades conocidas.
  2. Precaución en Internet: manténgase alerta ante correos electrónicos y enlaces sospechosos, y utilice soluciones antivirus fiables.
  3. Copias de seguridad: Haz copias de seguridad periódicas de tus datos importantes en discos externos o servicios seguros en la nube.

El ransomware Cactus representa una amenaza sofisticada y en evolución en el panorama de las ciberamenazas. Su capacidad para explotar vulnerabilidades de VPN, utilizar herramientas legítimas para actividades maliciosas y realizar ataques de doble extorsión lo convierten en un adversario formidable para organizaciones de todos los tamaños. La mejor defensa contra amenazas como Cactus es una combinación de medidas proactivas.

Si necesita ayuda en caso de ataque, no dude en consultar a nuestros expertos en recuperación de datos. SOS Ransomware puede ayudarle a restaurar sus archivos y prevenir futuros ataques de ransomware Cactus.

Para saber más: una inmersión profunda en el ransomware Cactus

Análisis técnico del ransomware Cactus por SecurityScorecard

Actualización 30.01.2024:

Cactus ataca de nuevo Schneider Electric es la última víctima francesa. Lea nuestro último artículo para estar al día de estos ciberataques y mantenerse informado sobre la continua amenaza de Cactus.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2025 Recoveo | Réalisation par Tell It