El ransomware Cactus no recibe suficiente atención. Este grupo de amenazas no tiene la longevidad de LockBit ni los recursos de Volt Typhoon , pero ciertamente aprovecha al máximo lo que tiene. En los doce meses transcurridos desde que se observó por primera vez a Cactus atacando a grandes entidades comerciales, este actor de amenazas ha atacado con éxito algunas de las empresas más grandes de Estados Unidos, Italia, Reino Unido, Suiza y Francia.
¿Quién y qué es el ransomware Cactus?
El ransomware Cactus ha estado atacando entidades comerciales desde marzo de 2023 y hasta ahora ha tenido mucho éxito según los estándares criminales. En un estudio sobre el crecimiento del ransomware, el Instituto SANS identificó a Cactus como uno de los actores de amenazas de más rápido crecimiento de ese año . Este estudio también encontró que el 17% de todos los ataques de ransomware en 2023 fueron realizados por nuevos grupos que no existían en 2022. Cactus fue una de las cinco amenazas principales en este nuevo grupo de actores de amenazas.
El nombre del grupo proviene del nombre del archivo de la nota de rescate, "cAcTuS.readme.txt". Los archivos cifrados cambian de nombre con la extensión .CTS x , donde x es un número de un solo dígito que varía entre ataques.
La nota de rescate dice lo siguiente
###
Su red corporativa fue comprometida y cifrada por Cactus.
No interrumpa el proceso de cifrado, no detenga ni reinicie sus máquinas hasta que se complete el cifrado. De lo contrario, los datos podrían dañarse.
Además de la infraestructura cifrada, hemos descargado mucha información confidencial de sus sistemas. La publicación de estos documentos podrá provocar la terminación de su actividad comercial: actividades, contratos con sus clientes y socios, y múltiples juicios.
Si ignora esta advertencia y no se comunica con nosotros, sus datos confidenciales se publicarán en nuestro blog:
###
Cactus es la típica operación de ransomware como servicio (RaaS) de doble extorsión. Los operadores han demostrado la capacidad de generar nuevos ataques muy rápidamente, especialmente en respuesta a nuevos CVE . Este grupo es una amenaza en evolución y desafiante para los equipos de ciberseguridad.
Ataques notables
Cactus ha aparecido últimamente en los titulares por su exitoso ataque a Schneider Electric en enero de 2024. Schneider Electric es una empresa multinacional francesa con cientos de oficinas en todo el mundo, incluidas varias en los Estados Unidos. La empresa tiene miles de clientes empresariales y una cuota de mercado de Energía y Energía del 35,7% . Sólo la división de Negocios de Sostenibilidad se vio comprometida en el incidente, pero los clientes de esa división incluyen a Clorox, DHL, DuPont, Hilton, PepsiCo y Walmart . Cactus afirma haber extraído 1,5 TB de datos de Schneider antes de lanzar el ransomware.
Schneider Electric también fue una de las miles de empresas afectadas por la violación de datos de MOVEit en 2023 .
Cactus ha tenido varias otras víctimas globales, incluidas Marfrig Global Foods y MINEMAN Systems . Ambas empresas impactan las cadenas de suministro mundiales. Cactus ha incluido a más de 100 víctimas en su sitio de filtración, pero no sabemos cuántas otras víctimas han pagado un rescate y permanecen sin listar.
Características
Este grupo es conocido por irrumpir en redes explotando vulnerabilidades conocidas en dispositivos VPN y software Qlik Sense . El grupo también lleva a cabo ataques de phishing, compra credenciales robadas a través de foros criminales y se asocia con distribuidores de malware. Microsoft Threat Intelligence observó que el actor de amenazas Storm-0216 utiliza publicidad maliciosa y un troyano de puerta trasera para implementar el ransomware Cactus.
El hilo de Microsoft sobre X tiene más detalles de este ataque.
El ransomware se basa en uno o más archivos binarios de cifrado para cifrar los archivos de un sistema. Estos archivos binarios normalmente se ejecutan cuando los delincuentes terminan de conocer a la víctima, robar datos y hacer cualquier otra cosa que quieran en ese sistema. Cactus ransomware es único porque cifrará su propio binario de cifrado para que las herramientas de seguridad no lo reconozcan. Una vez cifrado, el binario no se puede iniciar a menos que la clave de descifrado esté disponible. Este tipo de sofisticación requiere que las víctimas potenciales empleen capacidades de seguridad avanzadas y un enfoque de múltiples capas para la detección y mitigación de amenazas.
Aparte de eso, el ransomware Cactus no es tan sofisticado. Utilizan escáneres disponibles para escanear objetivos en busca de vulnerabilidades conocidas. Una vez dentro de una red, Cactus utiliza tácticas de Living-off-the-Land (LotL) para explorar el sistema y permanecer oculto. El grupo utiliza Rclone para la filtración de datos, un script de PowerShell para automatizar el proceso de cifrado y tareas programadas para descifrar el binario. También instalarán una puerta trasera SSH en el sistema para establecer persistencia y comunicación con los servidores de comando y control (C2). Cuando estén listos, utilizarán el script TotalExec.ps1 para iniciar el cifrado.
Relaciones con otras amenazas
No se sabe mucho sobre Cactus, pero los operadores parecen tener habilidades y experiencia. El script TotalExec.ps1 utilizado por Cactus estaba siendo utilizado por el grupo Black Basta en 2022. Los actores de amenazas de Black Basta han sido vinculados a Conti , BlackMatter y Storm-0216 . El actor de la amenaza Storm-0216 es el personaje principal del ataque de publicidad maliciosa mencionado anteriormente.
Las tácticas, técnicas y procedimientos de Cactus (TTP) son similares a los de Magnet Goblin , pero los investigadores aún no han confirmado una conexión entre ellos.
Protege tu empresa
Cactus ransomware es un jugador interesante y peligroso entre las bandas de ransomware. Las técnicas de cifrado binario y LotL están diseñadas para ocultarse de todos, excepto de la protección contra amenazas más avanzada.
Barracuda ofrece protección completa contra ransomware y la plataforma de ciberseguridad más completa de la industria .
Fuente: www.barracuda.com