206 lekti

Cactus Ransomware: Yon menas cyber evolye nan 2025 ak Sharp Tactics

pa Dr. Sanjeev Kumar5m2025/05/13
Read on Terminal Reader

Twò lontan; Pou li

Cactus ransomware se yon menas kibernetik ogmante nan 2025, lè l sèvi avèk phishing, lojisyèl san patch, ak doub taktik extortion. Li infiltre rezo lè l sèvi avèk sosyal enjenyè ak malware Customized, evite deteksyon, ak enkripte done pandan y ap menase ekspoze piblik la. Reste rezistan mande pou backups fò, monitoring menas, ak estrateji repo rapid.
featured image - Cactus Ransomware: Yon menas cyber evolye nan 2025 ak Sharp Tactics
Dr. Sanjeev Kumar HackerNoon profile picture
0-item
1-item


Ransomware se yon atak sekirite cyber ki fèt yo enkripte sistèm dosye nan òdinatè a, ak cybercriminals mande pou yon ranvèse bay kle a deskripsyon.


Sepandan, peye ranbousman nan kriminèl cyber pa rezoud pwoblèm la. Modèn CISOs / CIOs yo soumèt pa sofistiké atak ransomware. Se jou yo nan tradisyonèl fason nan enkli enkripsyon dosye nan atak ransomware. Analizè sekirite jodi a ak lidè yo ap batay ak avanse cybercriminals ki itilize metòd Customized ak konplèks ak sosyete kriminèl ki kontwole operasyon biznis.


Cactus ransomware se yon atak cyber sofistiké. Soti nan detèminasyon an nan cactus ransomware, li te pran mond lan pa fòs, ki fè yon enpak mondyal kòm yon risk sekirite cyber. Li te byen vit eskale epi li te genyen yon pousantaj nan cybercrime.


Yon kèk efè nan Black Basta ransomware yo tankou sa a:


  • Yon kantite lajan eksepsyon US $ 107 milyon dola nan bitcoin te rapòte nan 2023, ak gwoup la menase anba sa a te Black Basta.
  • Se poutèt sa, Amerik di Nò a te sitou afekte pa incidans sa a, li te swiv Ewòp, ki reprezante 18 pousan.
  • Black Basta ransomware te ranplase endistri manifakti, imobilye, ak konstriksyon pi difisil. Li te lye ak 28 nan 373 incidans ransomware rapòte nan mwa avril 2024.
  • Yon konsiltasyon sekirite sitwayen ki te pibliye pa ajans Ameriken, FBI, CISA, HHS, ak MS-ISAC montre ke Black Basta, yon ransomware nan mwa Novanm 2024, afekte 12 nan 16 sektè kritik.
  • Yon rapò menase pa Kaspersky trompèt ke Black Basta ransomware te nan mitan 12yèm fanmi ransomware ki pi aktif nan 2023 ak te wè yon ogmantasyon enpòtan nan Q1 2024.


Karakteristik prensipal la nan kaktus ransomware se chantaj doub. Aktè a menase pa bay kle a dekripsyon menm apre peman ranvèse. Yo ka ekstrè done a pa vole li sou entènèt. Sepandan, atè a menase ki anba kaktus ransomware a se sanble; defansè sekirite kwè li gen yon sous soti nan yon gwoup hactivist Malezi.

A Look at the Cactus Attack Chains

Cactus ransomware se pa yon menas cyber mwayèn – li sehighly sophisticatedGwoup la menas ki anba atak Cactus ransomware sèvi ak yon pwosesis atak plizyè etap, konbine enjenyè sosyal (tankou mesaj false Microsoft Teams), zouti aksè distans, ak pwopriyete malware Custom-constructed infiltrate sistèm yo ak rete kache.


Yon fwa li antre nan sistèm lan nan objektif la, atis menase pa sèlman bloke dosye yo. Yo navige atravè rezo, eskale privilèj yo, ak kenbe stealth, tout pandan y ap prepare pou batay la dènye: enkripsyon ak eksepsyon. Menm si enkripsyon yo se bloke, tankou nan yon ka dènye, yo toujou voye menase ransomnotes via imel - pwouve ke yo ka adapte ak fè atak soti nan kòmansman a fini.


Kòm yon kompromis inisyal, atis ransomware menase souvan eksplore ranpli yo pa patch nan lojisyèl lajman itilize, tankou sèvis VPN, pwotokòl Desktop distans, oswa aplikasyon entènèt, pou jwenn aksè inisyal nan rezo a nan victime a. Atakè yo ka tou sèvi ak imel phishing oswa kompromèt sit entènèt legal yo distribye payloads malveyan. Sa yo imel souvan gen ajoute malveyan oswa lyen ki, lè louvri, deplase ransomware a.


Black Basta Ransomware Infection Lifecycle; Source: https://www.tatacommunications.com/knowledge-base/guide-to-black-basta-ransomware/


nanEstablishing Persistence phase,Yon fwa nan, atakè yo deplwaye legal zouti jesyon distans oswa implante malid tankou trojan aksè distans. Zouti sa yo pèmèt aksè kontinyèl ak ede nan evade deteksyon. Atakè yo souvan demode credentials soti nan sistèm kompromèt (via memwa dumps oswa web navigateur credentials) yo eskale privilèj yo ak difize nan rezo a.

Apre yo jwenn aksè nan yon sèl machin, atakè souvan sèvi ak zouti scanning rezo yo identifye lòt aparèy vulnerable sou rezo a kòm yon mouvman lateral. Scanning rezo pèmèt yo deplase lateral atravè sistèm yo ak aksè nan objektif pi wo-valè. Yon fwa kwasans yo te identifye, ransomware a ka propage nan rezo a pa eksplike SMB, RDP, oswa jwi pwotokòl ki pa an sekirite.

Data Exfiltration (Double Extortion)

Anvan enkripsyon dosye, ransomware gwoup eksfiltrasyon done sensib oswa valè nan kote ekstèn (cloud storage, lòd-ak-kontrole sèvè). Advanced ransomware atak itilize doub eksepsyon, nan ki cybercriminals mete presyon ekstra sou victime a peye kantite lajan an ranpli; si sa a, yo ka distribye done yo te vole nan foròm piblik oswa Dark Web la.

Yon rapò nanISA Global Cybersecurity Alliance (ISAGCA) se youn nansoulye ke acteurs menas modèn yo te devlope pou sèvi ak nouvo metòd propagasyon atak nan peyizaj la menas kibernetik, ak double extortion ransomware se youn nan metòd yo sofistike ki te fè tit depi 2020. Akteur la menas kòmanse enkripsyon dosye sou sistèm la kompromise.


Dosye yo tipikman enkripsyon ak algorithms enkripsyon fò ak renome ak yon ekstansyon dosye inik, fè retounen difisil san kle a dekripsyon. Gen kèk stè ransomware aplike teknik espesifik tankou fragman dosye a oswa enkripsyon buffer pou akselere pwosesis la enkripsyon, fè deteksyon pi difisil. Yon note ranbousman (souvan yon dosye tèks oswa paj HTML) se retire sou sistèm la enfekte, mande peye nan kriptografik pou dekripsyon dosye yo. Not la anjeneral gen ladan menas nan pèdi done a permanan oswa ekspozisyon piblik si ranbousman an se peye.


Ransomware souvan lè l sèvi avèk teknik tankou kòd obfuscation oswa pake (pou egzanp, UPX oswa Custom packers) evite deteksyon pa zouti sekirite tradisyonèl. Gen kèk ransomware ki fèt detekte si li kouri nan yon anviwònman sandbox, ki zouti sekirite itilize yo analize malware. Si li detekte yon sandbox, li ka retire oswa sispann egzèsis li yo.


Analitè sekirite ka kontwole repete, eksepsyon dosye anviwònman oswa modèl renome dosye ki ka indike aktivite kriptografik. Nan yon kèk mwayen, kontwole trafik rezo suspect pou eksfiltrasyon oswa kominikasyon ak IP ekstèn ka etidye aktivite ransomware. Detekte ekzekisyon anviwònman anviwònman, espesyalman moun ki ki asosye ak demann credential, zouti mouvman lateral, oswa zouti aksè distans, ka yon indikatè kle. Kreyasyon annotasyon ranbousman nan katwòch oswa aparans nan dosye ak eksepsyon anviwònman indike yon atak ransomware. Ransomware souvan piki itilizasyon resous sistèm (pwa, CPU, disk IO) pandan enkrip


Cactus's Tactics, Techniques, and Procedures (TTPs)

Aktivite a nan gwoup la koresponn ak anpil teknik byen li te ye nan MITRE ATT&CK kiber sekirite. Isit la se yon rapò senp:


  • Premye Aksè: Phishing (T1566.003), abuse nan zouti kolaborasyon (T1199)
  • Ekzekisyon: Ekzekisyon dosye malware (.bpx archives) (T1204.002)
  • Persistans: Modifikasyon nan Rejis la (T1547.001)
  • Privilege Escalation: DLL sideloading (T1574.001)
  • Defans evasion: maske dosye (T1036.005), desann firewalls (T1562.004)
  • mouvman latè: lè l sèvi avèk WinRM ak SMB (T1021.002, T1021.006)
  • Kòmand & kontwòl: Encrypted chanèl ak BackConnect implant (T1071.001, T1571)
  • Ekfiltrasyon: transfè dosye WinSCP (T1105)
  • Impact: Encryption dosye (T1486), ransom note, ak menas


Final Thoughts

Pou mitigasyon ak reponn a atak kaktus ransomware, yon fwa yon enfeksyon kaktus detekte, izolasyon machin yo ki afekte soti nan rezo a se enpòtan pou anpeche plis difizyon. Ki gen bon, izolasyon, ak ajou backups se esansyèl pou recovery. Regilye backup asire sistèm yo ka restaure san yo pa peye ranvèse a. Post-atake, fè analiz forensik ka ede detèmine vètikal la nan atak, sistèm ki afekte, ak jaden an nan eksfiltrasyon done. òganizasyon yo dwe rete alèz, kontwole endikatè kle, ak priorite siyifikasyon sekirite ak planifikasyon repons yo rete anvan menas tankou Kaktus.


Siksè nan defense ransomware se pa yon pwoblèm nan deplwaye zouti ki pi avanse; li se sou plis konplèman lè l sèvi avèk zouti yo dwat efikasman kòm yon pati nan estrateji sekirite.

Trending Topics

blockchaincryptocurrencyhackernoon-top-storyprogrammingsoftware-developmenttechnologystartuphackernoon-booksBitcoinbooks