200 lecturas

Cactus Ransomware: una amenaza cibernética en evolución en 2025 con Sharp Tactics

por Dr. Sanjeev Kumar5m2025/05/13
Read on Terminal Reader

Demasiado Largo; Para Leer

Cactus ransomware es una amenaza cibernética creciente en 2025, aprovechando el phishing, software no corregido y tácticas de extorsión doble. Se infiltra en las redes utilizando ingeniería social y malware personalizado, evita la detección y encripta los datos mientras amenaza la exposición pública.
featured image - Cactus Ransomware: una amenaza cibernética en evolución en 2025 con Sharp Tactics
Dr. Sanjeev Kumar HackerNoon profile picture
0-item
1-item


Ransomware es un ataque de ciberseguridad diseñado para cifrar los sistemas de archivos de la computadora, y los ciberdelincuentes exigen un rescate para proporcionar la clave de descifrado.


Sin embargo, pagar el rescate a los ciberdelincuentes no resuelve el problema.Los modernos CISOs/CIOs están abrumados por los sofisticados ataques de ransomware.Han pasado los días de las formas tradicionales de cifrado de archivos simples en los ataques de ransomware.Los analistas de seguridad y líderes de hoy están peleando con los ciberdelincuentes avanzados que utilizan métodos personalizados y complejos con las sociedades criminales que controlan las operaciones comerciales.


Cactus ransomware es un sofisticado ataque cibernético.Desde el descubrimiento del cactus ransomware, ha tomado el mundo por tormenta, causando un impacto mundial como un riesgo de ciberseguridad.


Algunos de los efectos de Black Basta ransomware son los siguientes:


  • Un importe total de extorsión de US$107 millones en bitcoins se informó en 2023, y el grupo de amenaza detrás de esto era Black Basta.
  • Solo América del Norte fue atacado principalmente por este incidente, seguido por Europa, que representa el 18 por ciento.
  • El ransomware Black Basta golpeó las industrias manufacturera, inmobiliaria y de la construcción más duramente. Se relacionó con 28 de los 373 incidentes de ransomware reportados en abril de 2024.
  • El asesoramiento de ciberseguridad publicado conjuntamente por las agencias de Estados Unidos, el FBI, CISA, HHS y MS-ISAC destacó que Black Basta, un ransomware en noviembre de 2024, afectó a 12 de los 16 sectores críticos.
  • Un informe de amenaza de Kaspersky afirmó que el ransomware Black Basta estaba entre las 12 familias de ransomware más activas en 2023 y presenció un aumento significativo en el primer trimestre de 2024.


La característica clave del cactus ransomware es la doble extorsión. El actor de amenaza no proporciona la clave de descifrado incluso después del pago del rescate. Pueden filtrar los datos robándolo en línea. Sin embargo, el actor de amenaza detrás del cactus ransomware no está claro; los defensores de la seguridad creen que tiene una fuente de un grupo hacktivista malayo.

A Look at the Cactus Attack Chains

Cactus ransomware no es una amenaza cibernética promedio – eshighly sophisticatedEl grupo de amenazas detrás de los ataques de Cactus ransomware utiliza un proceso de ataque en varias etapas, combinando la ingeniería social (como mensajes falsos de Microsoft Teams), herramientas de acceso remoto y implantes de malware personalizados para infiltrarse en los sistemas y permanecer ocultos.


Una vez que entra en el sistema de destino, los actores de la amenaza no sólo bloquean los archivos. navegan a través de las redes, escalan los privilegios y mantienen el secreto, todo mientras se preparan para el golpe final: cifrado y extorsión. Incluso si su cifrado está bloqueado, como en un caso reciente, todavía envían amenazantes notas de rescate por correo electrónico, prueba de que pueden adaptarse y llevar a cabo ataques desde el principio hasta el final.


Como un compromiso inicial, los actores de amenazas de ransomware a menudo explotan vulnerabilidades no corregidas en software ampliamente utilizado, como servicios VPN, protocolos de escritorio remoto o aplicaciones web, para obtener acceso inicial a la red de la víctima. Los atacantes también pueden utilizar correos electrónicos de phishing o sitios legítimos comprometidos para distribuir cargas de utilidad maliciosas. Estos correos electrónicos a menudo contienen adjuntos maliciosos o enlaces que, cuando se abren, desplegan el ransomware.


Black Basta Ransomware Infection Lifecycle; Source: https://www.tatacommunications.com/knowledge-base/guide-to-black-basta-ransomware/


En laEstablishing Persistence phase,Una vez dentro, los atacantes desplegan herramientas legítimas de gestión remota o implantes maliciosos como troyanos de acceso remoto. Estas herramientas permiten el acceso continuo y ayudan a evadir la detección. Los atacantes a menudo descargan credenciales del sistema comprometido (a través de descargas de memoria o credenciales de navegador web) para escalar privilegios y propagarse dentro de la red.

Después de obtener acceso a una máquina, los atacantes a menudo utilizan herramientas de escaneo de red para identificar otros dispositivos vulnerables en la red como movimiento lateral. Escaneo de red les permite moverse lateralmente a través de los sistemas y acceder a más objetivos de alto valor. Una vez que se identifiquen las vulnerabilidades, el ransomware puede propagarse a través de la red explotando SMB, RDP o aprovechando protocolos inseguros.

Data Exfiltration (Double Extortion)

Antes de la encriptación de archivos, los grupos de ransomware filtran datos sensibles o valiosos a ubicaciones externas (almacenamiento en la nube, servidores de comandos y control). Los ataques de ransomware avanzados utilizan una doble extorsión, en la que los ciberdelincuentes ponen una presión adicional en la víctima para pagar el importe del rescate; de lo contrario, pueden distribuir los datos robados a los foros públicos o a la web oscura.

Un informe de laISA Global Cybersecurity Alliance (Alianza Mundial de Seguridad Cibernética)Destacó que los actores modernos de amenazas han evolucionado para utilizar nuevos métodos de propagación de ataques en el paisaje de amenazas de ciberseguridad, y el ransomware de extorsión doble es uno de los métodos sofisticados que han hecho títulos desde 2020.


Los archivos suelen ser cifrados con algoritmos de cifrado fuertes y renombrados con una extensión de archivo única, lo que dificulta la recuperación sin la clave de descifrado. Algunas cepas de ransomware emplean técnicas específicas como fragmentación de archivos o cifrado de buffer para acelerar el proceso de cifrado, haciendo más difícil la detección. Una nota de rescate (a menudo un archivo de texto o una página HTML) se deja caer en el sistema infectado, exigiendo el pago en criptomoneda para descifrar los archivos. La nota suele incluir amenazas de pérdida permanente de datos o exposición pública a menos que se pague el rescate.


El ransomware a menudo utiliza técnicas como el obfuscado de código o el empaquetado (por ejemplo, UPX o paquetes personalizados) para evitar la detección por las herramientas de seguridad tradicionales.Algunos ransomware están diseñados para detectar si se ejecuta en un entorno de caja de arena, que las herramientas de seguridad utilizan para analizar el malware.


Los analistas de seguridad pueden monitorear repentinas extensiones de archivos inusuales o patrones de renombre de archivos que pueden indicar actividad de cifrado. En cierta medida, el seguimiento del tráfico de red sospechoso para la exfiltración o la comunicación con IPs externos puede destacar la actividad de ransomware. Detectar ejecuciones de comandos anormales, especialmente aquellos asociados con el dumping de credenciales, herramientas de movimiento lateral o herramientas de acceso remoto, puede ser un indicador clave. La creación de notas de rescate en directorios o la aparición de archivos con extensiones inusuales indica un ataque de ransomware.


Cactus's Tactics, Techniques, and Procedures (TTPs)

La actividad del grupo coincide con muchas técnicas conocidas en el marco de ciberseguridad MITRE ATT&CK. Aquí está una descomposición simplificada:


  • Acceso inicial: phishing (T1566.003), abuso de herramientas de colaboración (T1199)
  • Ejecución de archivos maliciosos (.bpx archives) (T1204.002)
  • Persistencia: modificaciones de registro (T1547.001)
  • Privilege Escalation: DLL sideloading (T1574.001)
  • Evasión de la defensa: enmascaramiento de archivos (T1036.005), deshabilitación de firewalls (T1562.004)
  • Movimiento lateral: Usando WinRM y SMB (T1021.002, T1021.006)
  • Comando y control: canales cifrados con implantes BackConnect (T1071.001, T1571)
  • Transferencia de archivos WinSCP (T1105)
  • Impacto: encriptación de archivos (T1486), notas de rescate y amenazas


Final Thoughts

Para mitigar y responder a los ataques de cactus ransomware, una vez que se detecte una infección de cactus, aislando las máquinas afectadas de la red es crucial para prevenir la propagación adicional. Tener buenas, aisladas y actualizadas copias de seguridad es esencial para la recuperación. La copia de seguridad regular asegura que los sistemas puedan ser restaurados sin pagar el rescate. Después del ataque, la realización de análisis forense puede ayudar a determinar el vector del ataque, los sistemas afectados y el alcance de la exfiltración de datos. Las organizaciones deben permanecer alerta, monitorear los indicadores clave y priorizar la conciencia de seguridad cibernética y la planificación de respuesta para mantenerse por delante de amenazas como Cactus.


El éxito en la defensa de ransomware no es una cuestión de implementar las herramientas más avanzadas; se trata de utilizar las herramientas adecuadas de manera más completa como parte de la estrategia de seguridad.

Trending Topics

blockchaincryptocurrencyhackernoon-top-storyprogrammingsoftware-developmenttechnologystartuphackernoon-booksBitcoinbooks