logo SOS Ransomware
Urgence 24/7

Cactus ransomware une nouvelle menace épineuse en matière de cybersécurité

Le ransomware Cactus, un acteur relativement nouveau dans l’arène des cybermenaces, soulève des inquiétudes croissantes parmi les experts en sécurité. Ce ransomware se distingue par sa capacité à voler des données et à chiffrer des fichiers, tout en employant des méthodes uniques pour éviter la détection. Cactus se concentre principalement sur les grandes organisations commerciales. Cette approche ciblée et sa méthode d’évasion sophistiquée le rendent particulièrement dangereux. Mieux comprendre les menaces de Cactus Ransomware et ses tactiques opérationnelles, permet d’élaborer des stratégies de prévention pour se prémunir contre de telles attaques.

L’apparition récente et l’impact significatif de Cactus Ransomware

Identifié pour la première fois en mars 2023, Cactus Ransomware a rapidement attiré l’attention en raison de son approche unique et de sa cible spécifique. Cactus vise principalement de grandes entités commerciales, en particulier celles qui utilisent des services d’accès à distance. Ce choix n’est pas anodin, car ces entreprises possèdent souvent des données sensibles et sont donc des cibles de choix pour les cybercriminels.

Ces organisations sont particulièrement vulnérables aux attaques de Cactus en raison de leur dépendance à des réseaux potentiellement non sécurisés. L’exploitation des failles VPN par Cactus lui permet d’infiltrer ces réseaux et de mener ses opérations malveillantes. La menace est d’autant plus sérieuse que Cactus ne semble pas utiliser de site de fuite de données, ce qui rend difficile la détection de ses activités.

La capacité de Cactus à exploiter les vulnérabilités des VPN et à s’infiltrer dans les réseaux sans être détecté augmente le risque de perturbations majeures et de pertes financières pour les entreprises touchées.

Analyse technique du ransomware Cactus

Il se distingue par son utilisation de techniques de chiffrement avancées et son exploitation des vulnérabilités VPN pour accéder aux réseaux de ses cibles. Il utilise un script batch et l’outil de compression 7-Zip pour obtenir pour obtenir son binaire de chiffrement. Cette technique lui permet de passer plus facilement sous le radar des logiciels de sécurité les plus courants.

1. Techniques de chiffrement uniques

Cactus Ransomware emploie des méthodes de chiffrement sophistiquées pour protéger son binaire et éviter la détection par les logiciels antivirus. Il se déploie via un script batch, puis supprime l’archive ZIP originale. Cette approche complexe rend difficile la détection et l’analyse du ransomware par les outils de sécurité traditionnels.

2. Modifications des extensions de fichiers et processus de chiffrement

Une fois exécuté, le ransomware modifie les extensions de fichiers des données ciblées, passant de « .CTS0 » avant le chiffrement à « .CTS1 » après le chiffrement. Pour le chiffrement des fichiers, Cactus ransomware utilise une clé AES unique, connue uniquement des attaquants, et nécessaire pour déchiffrer le fichier de configuration du ransomware et la clé publique RSA utilisée pour chiffrer les fichiers. De plus, il a un mode rapide où il chiffre les fichiers deux fois, ajoutant une nouvelle extension après chaque processus (.CTS1.CTS7) lorsqu’il est exécuté en modes rapide et normal.

3. Exploitation des vulnérabilités des réseaux privés virtuels (VPN)

Cactus exploite les vulnérabilités connues des VPN pour accéder initialement au réseau de la victime. En utilisant ces vulnérabilités, l’acteur de la menace accède aux réseaux d’organisations commerciales majeures. Une fois l’accès initial obtenu, les pirates utilisent une tâche planifiée pour un accès persistant et emploient une porte dérobée SSH qu’ils peuvent atteindre ultérieurement depuis un serveur de commande et de contrôle.

cactus ransomware

Tactiques opérationnelles de Cactus Ransomware

1. Accès non autorisé et infiltration du réseau

Le ransomware Cactus utilise des techniques d’accès non autorisé pour infiltrer les réseaux d’entreprises. En exploitant les vulnérabilités des VPN, il parvient à s’introduire dans les systèmes cibles sans éveiller les soupçons. Une fois à l’intérieur, il se propage latéralement, exploitant les faiblesses de la sécurité réseau, les mots de passe faibles ou les logiciels non mis à jour pour prendre le contrôle de plusieurs machines. Cette capacité à se déplacer discrètement au sein des réseaux le rend particulièrement redoutable.

2. Utilisation d’outils légitimes à des fins malveillantes

Cactus se distingue par son utilisation d’outils légitimes pour mener à bien ses activités malveillantes. Il emploie des outils comme Rclone et des tâches planifiées pour établir une persistance sur les systèmes infectés et s’assurer de pouvoir continuer ses opérations même après un redémarrage du système. Cette stratégie lui permet de rester caché et de rendre la détection et l’élimination du ransomware plus difficile pour les équipes de sécurité informatique.

3. Exfiltration de données et tactiques de double extorsion

Avant de chiffrer les fichiers, Cactus ransomware exfiltre des données sensibles des systèmes compromis. Ces données volées sont ensuite utilisées comme levier pour extorquer davantage les victimes ou pour être vendues sur le dark web. En plus de demander une rançon pour le déchiffrement des données, les cybercriminels menacent de divulguer ou de vendre les informations volées si la rançon n’est pas payée, une tactique de double extorsion bien connue. Cette approche augmente la pression sur les victimes et rend la gestion de l’incident de sécurité encore plus complexe.

Les chercheurs de Kroll Cyber Threat Intelligence ont élaboré dans leur dernier rapport un diagramme permettant de mieux comprendre le processus d’exécution binaire de Cactus.

Cactus Ransomware infographie
Le flux d’exécution de Cactus ransomware. (crédit : Kroll)

Stratégies de prévention et d’atténuation

1. Importance d’une gestion régulière des correctifs

La gestion régulière des correctifs est cruciale pour protéger les réseaux contre les ransomwares comme Cactus ransomware. Comme le démontre l’analyse de Kroll, Cactus exploite des vulnérabilités documentées dans les appareils VPN pour accéder aux réseaux. Une mise à jour régulière des systèmes et des logiciels peut prévenir de telles intrusions en corrigeant les failles de sécurité connues.

2. Surveillance du réseau et tests de pénétration

La surveillance continue du réseau est essentielle pour détecter les activités suspectes. Les tests de pénétration réguliers peuvent également aider à identifier les vulnérabilités. Une surveillance efficace peut détecter une utilisation suspecte de ces outils et d’autres anomalies, permettant une intervention rapide.

3. Recommandations pour les entreprises et les particuliers

Pour les entreprises :

  1. Mise à jour et patchs réguliers : Assurez-vous que tous les systèmes et logiciels sont à jour pour éviter les vulnérabilités exploitables.
  2. Formation des employés : Sensibilisez votre personnel aux risques de sécurité, notamment aux techniques de phishing et aux autres méthodes d’ingénierie sociale.
  3. Sauvegardes régulières : Effectuez des sauvegardes régulières et assurez-vous qu’elles sont stockées hors ligne ou dans un environnement sécurisé.

Pour les particuliers :

  1. Mises à jour de sécurité : Gardez vos appareils et logiciels à jour pour protéger contre les vulnérabilités connues.
  2. Prudence en ligne : Soyez vigilant face aux emails et liens suspects, et utilisez des solutions antivirus fiables.
  3. Sauvegardes : Sauvegardez régulièrement vos données importantes sur des disques externes ou des services cloud sécurisés.

Cactus Ransomware représente une menace sophistiquée et évolutive dans le paysage des cybermenaces. Sa capacité à exploiter les vulnérabilités des VPN, à utiliser des outils légitimes pour des activités malveillantes, et à mener des attaques de double extorsion en fait un adversaire redoutable pour les organisations de toutes tailles. La meilleure défense contre des menaces comme Cactus reste une combinaison de mesures proactives.

Pour obtenir de l’aide en cas d’attaque, n’hésitez pas à consulter nos experts en récupération de donnée. SOS Ransomware peut vous aider à restaurer vos fichiers et à prévenir de futures attaques de Cactus ransomware.

Pour approfondir le sujet : une plongée en profondeur dans le ransomware Cactus

Une analyse technique de Cactus Ransomware par SecurityScorecard. (en anglais)

Mise à jour du 30.01.2024 :

Cactus pique à nouveau ! Schneider Electric est la dernière victime française à son tableau de chasse. Explorez notre dernier article pour suivre de près l’évolution de ces cyberattaques et rester informé sur la menace persistante de Cactus.

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copyright © 2025 Recoveo | Réalisation par Tell It