Ransomware é un ataque de ciberseguridade deseñado para cifrar os sistemas de ficheiros do ordenador, e os cibercriminales esixen un rescate para proporcionar a clave de descifrado.
Non obstante, pagar o rescate aos cibercriminales non resolve o problema.Os CISOs modernos/CIOs están abrumados por sofisticados ataques de ransomware.Fuxiron os días das formas tradicionais de cifrado de ficheiros sinxelos nos ataques de ransomware.Os analistas e líderes de seguridade de hoxe están pelexando cos cibercriminales avanzados que usan métodos personalizados e complexos coas sociedades criminais que controlan as operacións empresariais.
Cactus ransomware é un sofisticado ataque cibernético. Desde o descubrimento do cactus ransomware, tomou o mundo por tempestade, causando un impacto mundial como un risco de seguridade cibernética.
Algúns dos efectos do Black Basta ransomware son os seguintes:
- Un importe total de extorsión de US $ 107 millóns en bitcoins foi reportado en 2023, e o grupo de ameaza detrás disto foi Black Basta.
- Só América do Norte foi atacado principalmente por este incidente, seguido por Europa, que representa o 18 por cento.
- O ransomware Black Basta golpeou as industrias de fabricación, inmobiliaria e construción máis duramente. Foi vinculado a 28 de 373 incidentes de ransomware reportados en abril de 2024.
- O asesoramento de seguridade cibernética publicado conxuntamente polas axencias dos Estados Unidos, o FBI, CISA, HHS e MS-ISAC destacou que Black Basta, un ransomware en novembro de 2024, afectou a 12 de 16 sectores críticos.
- Un informe de ameazas de Kaspersky trumpetou que Black Basta ransomware estaba entre as 12 familias de ransomware máis activas en 2023 e testemuñou un aumento significativo no primeiro trimestre de 2024.
A principal característica do cactus ransomware é a extorsión dobre. O axente de ameazas non proporciona a clave de descifrado mesmo despois do pagamento do rescate. Poden filtrar os datos roubándoo en liña. Con todo, o axente de ameaza detrás do cactus ransomware non está claro; os defensores da seguridade cren que ten unha fonte dun grupo hacktivista malaio.
A Look at the Cactus Attack Chains
Cactus ransomware non é unha ameaza cibernética media - éhighly sophisticatedO grupo de ameazas detrás dos ataques de Cactus ransomware usa un proceso de ataque en varias etapas, combinando enxeñaría social (como mensaxes falsas de Microsoft Teams), ferramentas de acceso remoto e implantes de malware personalizados para infiltrarse nos sistemas e permanecer oculto.
Unha vez que entra no sistema obxectivo, os axentes de ameaza non só bloquean os arquivos. Navegan a través de redes, escalan os privilexios e manteñen o segredo, todo mentres se preparan para o golpe final: cifrado e extorsión. Aínda que a súa cifrado estea bloqueado, como nun caso recente, aínda envían ameazantes notas de rescate a través de correo electrónico, proba de que poden adaptarse e realizar ataques de principio a fin.
Como un compromiso inicial, os axentes de ameazas de ransomware a miúdo explotan vulnerabilidades sen patches en software amplamente utilizado, como servizos VPN, protocolos de escritorio remoto ou aplicacións web, para obter acceso inicial á rede da vítima. Os atacantes tamén poden usar correos electrónicos de phishing ou sitios lexítimos comprometidos para distribuír cargas de utilidade maliciosas. Estes correos electrónicos a miúdo conteñen anexos maliciosos ou ligazóns que, cando se abren, desprazan o ransomware.
Na súaEstablishing Persistence phase,Unha vez dentro, os atacantes desprazan ferramentas lexítimas de xestión remota ou implantes maliciosos como troianos de acceso remoto. Estas ferramentas permiten o acceso continuo e axudan a evadir a detección.
Despois de obter acceso a unha máquina, os atacantes a miúdo usan ferramentas de verificación de rede para identificar outros dispositivos vulnerables na rede como movemento lateral. A verificación de rede permítelles moverse lateralmente a través dos sistemas e acceder a obxectivos de maior valor.
Data Exfiltration (Double Extortion)
Antes da encriptación de ficheiros, os grupos de ransomware exfiltran datos sensibles ou valiosos a lugares externos (almacenamento en nube, servidores de comandos e control). Os ataques de ransomware avanzados usan a extorsión dobre, na que os cibercriminales poñen presión extra sobre a vítima para pagar o importe do rescate; doutro xeito, poden distribuír os datos roubados a foros públicos ou á web escura.
Un informe daISA Alianza Global de Seguridade Cibernética (ISAGCA)Destacou que os actores modernos de ameazas evolucionaron para usar novos métodos de propagación de ataques na paisaxe de ameazas de ciberseguridade, e o ransomware de extorsión dobre é un dos métodos sofisticados que fixeron títulos desde 2020.
Os ficheiros son tipicamente cifrados con algoritmos de cifrado fortes e renomeados cunha extensión de ficheiro única, o que dificulta a recuperación sen a clave de descifrado. Algunhas cepas de ransomware empregan técnicas específicas como fragmentación de ficheiros ou cifrado tampón para acelerar o proceso de cifrado, o que dificulta a detección. Unha nota de rescate (a miúdo un ficheiro de texto ou unha páxina HTML) cae no sistema infectado, esixindo o pagamento en criptomoeda para descifrar os ficheiros.
Ransomware moitas veces usa técnicas como obfuscation de código ou embalaxe (por exemplo, UPX ou paquete personalizado) para evitar a detección por ferramentas de seguridade tradicionais. Algúns ransomware está deseñado para detectar se está a executar nun ambiente sandbox, que ferramentas de seguridade usan para analizar malware.
Os analistas de seguridade poden monitorizar as extensións de ficheiros repentinas e inusuais ou os patróns de renomeamento de ficheiros que poden indicar a actividade de cifrado. En certa medida, o seguimento do tráfico de rede sospeitoso para a exfiltración ou a comunicación con IPs externos pode salientar a actividade de ransomware. Detectar execucións de comandos anómalas, especialmente aquelas asociadas ao dumping de credenciais, ferramentas de movemento lateral ou ferramentas de acceso remoto, pode ser un indicador clave. A creación de notas de rescate en directorios ou a aparición de ficheiros con extensións inusuais indica un ataque de ransomware.
Cactus's Tactics, Techniques, and Procedures (TTPs)
A actividade do grupo coincide con moitas técnicas coñecidas no marco de ciberseguridade MITRE ATT&CK. Aquí está unha descomposición simplificada:
- Acceso inicial: Phishing (T1566.003), abuso de ferramentas de colaboración (T1199)
- Execución: Execución de ficheiros maliciosos (arquivos .bpx) (T1204.002)
- Persistencia: modificacións de rexistro (T1547.001)
- Privilege Escalation: DLL cargamento lateral (T1574.001)
- Evasión de defensa: ocultación de ficheiros (T1036.005), deshabilitación de firewalls (T1562.004)
- Movemento lateral: Usando WinRM e SMB (T1021.002, T1021.006)
- Comando e control: Canais cifrados con implantes BackConnect (T1071.001, T1571)
- Exfiltración: Transferencia de ficheiros WinSCP (T1105)
- Impacto: cifrado de ficheiros (T1486), notas de rescate e ameazas
Final Thoughts
Para mitigar e responder aos ataques de cactus ransomware, unha vez que se detecte unha infección de cactus, o illamento das máquinas afectadas da rede é crucial para evitar a propagación adicional. Ter boas, illadas e actualizadas copias de seguridade é esencial para a recuperación. O backup regular asegura que os sistemas poidan ser restaurados sen pagar o rescate. Tras o ataque, a realización de análises forenses pode axudar a determinar o vector de ataque, os sistemas afectados e o alcance da exfiltración de datos. As organizacións deben manterse alertas, supervisar os indicadores clave e priorizar a conciencia da seguridade cibernética e a planificación de resposta para manterse por diante de ameazas como Cactus.
O éxito na defensa de ransomware non é unha cuestión de implantar as ferramentas máis avanzadas; trátase de usar as ferramentas correctas de forma máis completa como parte da estratexia de seguridade.
