El ransomware Cactus no recibe suficiente atención. Este grupo de amenazas no tiene la longevidad de LockBit ni los recursos de Volt Typhoon, pero ciertamente aprovecha al máximo lo que tiene. En los doce meses transcurridos desde que se observó por primera vez a Cactus atacando a grandes entidades comerciales, este actor de amenazas ha atacado con éxito algunas de las empresas más grandes de Estados Unidos, Italia, Reino Unido, Suiza y Francia.
¿Quién y qué es el ransomware Cactus?
El ransomware Cactus ha estado atacando entidades comerciales desde marzo de 2023 y hasta ahora ha tenido mucho éxito según los estándares criminales. En un estudio sobre el crecimiento del ransomware, el Instituto SANS identificó a Cactus como uno de los actores de amenazas de más rápido crecimiento de ese año. Este estudio también encontró que el 17% de todos los ataques de ransomware en 2023 fueron realizados por nuevos grupos que no existían en 2022. Cactus fue una de las cinco amenazas principales en este nuevo grupo de actores de amenazas.
El nombre del grupo proviene del nombre del archivo de la nota de rescate, "cAcTuS.readme.txt". Los archivos cifrados pasan a denominarse con la extensión .CTSx, donde x es un número de un solo dígito que varía entre ataques.
La nota de rescate dice lo siguiente:
###
Your corporate network was compromised and encrypted by Cactus.
Do not interrupt the encryption process, don't stop or reboot your machines until the encryption is
complete. Otherwise the data may be corrupted.
In addition to the encrypted infrastructure, we have downloaded a lot of confidential information from
your systems. The publication of these documents may cause the termination of your commercial
activities, contracts With your clients and partners, and multiple lawsuits.
If you ignore this warning and do not contact us, your sensitive data will be posted on our blog:
###
Cactus es la típica operación de ransomware como servicio (RaaS) de doble extorsión. Los operadores han demostrado la capacidad de generar nuevos ataques muy rápidamente, especialmente en respuesta a nuevos CVE. Este grupo es una amenaza en evolución y desafiante para los equipos de ciberseguridad.
Ataques notables
Cactus ha aparecido últimamente en los titulares por su exitoso ataque a Schneider Electric en enero de 2024. Schneider Electric es una empresa multinacional francesa con cientos de oficinas en todo el mundo, incluidas varias en los Estados Unidos. La empresa tiene miles de clientes empresariales y una cuota de mercado de Energía y Energía del 35,7%. Sólo la división de Negocios de Sostenibilidad se vio comprometida en el incidente, pero los clientes de esa división incluyen a Clorox, DHL, DuPont, Hilton, PepsiCo y Walmart. Cactus afirma haber extraído 1,5 TB de datos de Schneider antes de lanzar el ransomware.
Ver nota del ataque Schneider.
Schneider Electric también fue una de las miles de empresas afectadas por la violación de datos de MOVEit en 2023.
Cactus ha tenido otras víctimas globales, incluidas Marfrig Global Foods y MINEMAN Systems. Ambas empresas impactan las cadenas de suministro mundiales. Cactus ha incluido a más de 100 víctimas en su sitio de filtración, pero no sabemos cuántas otras víctimas han pagado un rescate y permanecen sin listar.
Características
Este grupo es conocido por irrumpir en redes explotando vulnerabilidades conocidas en dispositivos VPN y software Qlik Sense. El grupo también lleva a cabo ataques de phishing, compra credenciales robadas a través de foros criminales y se asocia con distribuidores de malware. Microsoft Threat Intelligence observó que el actor de amenazas Storm-0216 utiliza publicidad maliciosa y un troyano de puerta trasera para implementar el ransomware Cactus.
El ransomware se basa en uno o más archivos binarios de cifrado para cifrar los archivos de un sistema. Estos archivos binarios normalmente se ejecutan cuando los delincuentes terminan de conocer a la víctima, robar datos y hacer cualquier otra cosa que quieran en ese sistema. Cactus ransomware es único porque cifrará su propio binario de cifrado para que las herramientas de seguridad no lo reconozcan. Una vez cifrado, el binario no se puede iniciar a menos que la clave de descifrado esté disponible. Este tipo de sofisticación requiere que las víctimas potenciales empleen capacidades de seguridad avanzadas y un enfoque de múltiples capas para la detección y mitigación de amenazas.
Aparte de eso, el ransomware Cactus no es tan sofisticado. Utilizan escáneres disponibles para escanear objetivos en busca de vulnerabilidades conocidas. Una vez dentro de una red, Cactus utiliza tácticas de Living-off-the-Land (LotL) para explorar el sistema y permanecer oculto. El grupo utiliza Rclone para la filtración de datos, un script de PowerShell para automatizar el proceso de cifrado y tareas programadas para descifrar el binario. También instalarán una puerta trasera SSH en el sistema para establecer persistencia y comunicación con los servidores de comando y control (C2). Cuando estén listos, utilizarán el script TotalExec.ps1 para iniciar el cifrado.
Relaciones con otras amenazas
No se sabe mucho sobre Cactus, pero los operadores parecen tener habilidades y experiencia. El script TotalExec.ps1 utilizado por Cactus estaba siendo utilizado por el grupo Black Basta en 2022. Los actores de amenazas de Black Basta han sido vinculados a Conti, BlackMatter y Storm-0216. El actor de la amenaza Storm-0216 es el personaje principal del ataque de publicidad maliciosa mencionado anteriormente.
Las tácticas, técnicas y procedimientos (TTP) de Cactus son similares a los de Magnet Goblin, pero los investigadores aún no han confirmado una conexión entre ellos.
Protege tu empresa
Cactus ransomware es un jugador interesante y peligroso entre las bandas de ransomware. Las técnicas de cifrado binario y LotL están diseñadas para ocultarse de todos, excepto de la protección contra amenazas más avanzada.
Te recomendamos ampliamente proteger todos los vectores de comunicación empresarial, tales como:
Seguridad para correo electrónico:
Seguridad en la navegación empresarial
Seguridad perimetral
Seguridad total para servidores y computadoras
Reslpaldo y protección de datos
Sitio web: www.cobranetworks.lat
Correo: ventas@cobranetworks.lat
Tel.: +52 (55) 5599-0691