Hackergruppen greifen immer wieder auf neue und komplexere Tricks zurück, um ihre Spuren zu verwischen und Schadsoftware unbemerkt auf fremde Systeme zu bringen. Die Cactus-Ransomware verschlüsselt sich selbst, um nicht von Antiviren-Apps erkannt zu werden.
Wie Bleeping Computer in einem Bericht erwähnt, ist Cactus mindestens seit März 2023 aktiv. Das Ziel der Operation besteht wie üblich darin, Rechner zu befallen und Lösegeld von den Besitzern zu erpressen. Die Schadsoftware hat es auf große Unternehmen abgesehen, da diese häufig mit wichtigen Daten arbeiten und oftmals bereit sind, größere Summen zu zahlen. Wie hoch das verlangte Lösegeld ausfällt, ist unklar. Womöglich bieten die Angreifer ihren Opfern individuelle "Deals" an, die in Millionenhöhe liegen können.
Um die Anwendung zu starten und Dateien auf dem infizierten System zu verschlüsseln, müssen die Hacker einen einzigartigen Schlüssel in die Kommandozeile eingeben. Mit dem Schlüssel werden die Konfigurationsdatei sowie der öffentliche RSA-Schlüssel zum Verschlüsseln der Dateien entschlüsselt. Während des Downloads liegt Cactus also nur in verschlüsselter Form vor, damit der Zugriff nicht von Schutzsystemen unterbunden werden kann. Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen.
Zusammenfassung
Quelle; winfuture
Wie Bleeping Computer in einem Bericht erwähnt, ist Cactus mindestens seit März 2023 aktiv. Das Ziel der Operation besteht wie üblich darin, Rechner zu befallen und Lösegeld von den Besitzern zu erpressen. Die Schadsoftware hat es auf große Unternehmen abgesehen, da diese häufig mit wichtigen Daten arbeiten und oftmals bereit sind, größere Summen zu zahlen. Wie hoch das verlangte Lösegeld ausfällt, ist unklar. Womöglich bieten die Angreifer ihren Opfern individuelle "Deals" an, die in Millionenhöhe liegen können.
Lücke in Fortinet-Produkten ausgenutzt
Das Besondere an der Cactus-Malware ist, dass das Programm auf mehrere Tricks zurückgreift, um Sicherheitsmaßnahmen zu umgehen. Der initiale Zugang wird erlangt, indem bekannte Sicherheitslücken in VPN-Lösungen von Fortinet ausgenutzt werden. Die Hacker greifen über einen VPN-Server auf das Netzwerk zu und führen daraufhin ein Batch-Skript aus, um die eigentliche Ransomware nachzuladen. Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert.Um die Anwendung zu starten und Dateien auf dem infizierten System zu verschlüsseln, müssen die Hacker einen einzigartigen Schlüssel in die Kommandozeile eingeben. Mit dem Schlüssel werden die Konfigurationsdatei sowie der öffentliche RSA-Schlüssel zum Verschlüsseln der Dateien entschlüsselt. Während des Downloads liegt Cactus also nur in verschlüsselter Form vor, damit der Zugriff nicht von Schutzsystemen unterbunden werden kann. Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen.
Zusammenfassung
- Hackergruppen nutzen Tricks, um Schadsoftware unbemerkt zu verbreiten.
- Cactus-Ransomware verschlüsselt sich selbst, um nicht erkannt zu werden.
- Ziel der Operation ist es, Rechner zu befallen und Lösegeld zu erpressen.
- Angreifer nutzen bekannte Sicherheitslücken in VPN-Lösungen.
- Ransomware wird in verschlüsselter Form nachgeladen.
- Relevante Dateien werden an Server der Angreifer übertragen.
Du musst Regestriert sein, um das angehängte Bild zusehen.
Quelle; winfuture