Ransomware é um ataque de segurança cibernética projetado para criptografar os sistemas de arquivos do computador, e os cibercriminosos exigem um resgate para fornecer a chave de descriptografia.
No entanto, pagar o resgate aos criminosos cibernéticos não resolve o problema. Os CISOs modernos/CIOs estão sobrecarregados por sofisticados ataques de ransomware. Passaram os dias das maneiras tradicionais de criptografia de arquivos simples em ataques de ransomware.Os analistas de segurança e líderes de hoje estão lutando com os cibercriminosos avançados que usam métodos personalizados e complexos com as sociedades criminosas que controlam as operações de negócios.
Cactus ransomware é um sofisticado ataque cibernético. Desde a descoberta do cactus ransomware, ele tomou o mundo por tempestade, causando um impacto mundial como um risco de segurança cibernética.
Alguns impactos do Black Basta ransomware são os seguintes:
- Um montante total de extorsão de US$ 107 milhões em bitcoins foi relatado em 2023, e o grupo de ameaça por trás disso foi Black Basta.
- A América do Norte sozinha foi atacada principalmente por este incidente, seguido pela Europa, que representa 18 por cento.
- O Black Basta ransomware atingiu as indústrias de manufatura, imobiliário e construção mais duramente. Foi associado a 28 de 373 incidentes de ransomware relatados em abril de 2024.
- A consultoria de segurança cibernética, divulgada conjuntamente pelas agências dos Estados Unidos, o FBI, CISA, HHS e MS-ISAC, destacou que o Black Basta, um ransomware em novembro de 2024, atingiu 12 dos 16 setores críticos.
- Um relatório de ameaças da Kaspersky disse que o Black Basta ransomware estava entre as 12 famílias de ransomware mais ativas em 2023 e testemunhou um aumento significativo no primeiro trimestre de 2024.
A principal característica do cactus ransomware é a extorsão dupla. O ator da ameaça não fornece a chave de descriptografia mesmo após o pagamento do resgate. Eles podem filtrar os dados roubando-o online. No entanto, o ator da ameaça por trás do cactus ransomware não é claro; os defensores da segurança acreditam que tem uma fonte de um grupo hacktivista malaio.
A Look at the Cactus Attack Chains
Cactus ransomware não é uma ameaça cibernética média – éhighly sophisticatedO grupo de ameaças por trás dos ataques do Cactus ransomware usa um processo de ataque em várias etapas, combinando engenharia social (como mensagens falsas do Microsoft Teams), ferramentas de acesso remoto e implantes de malware personalizados para infiltrar sistemas e permanecer oculto.
Uma vez que ele entra no sistema alvo, os atores de ameaça não apenas bloqueiam os arquivos. Eles navegam através das redes, aumentam os privilégios e mantêm o segredo, tudo enquanto se preparam para o golpe final: criptografia e extorsão. Mesmo que sua criptografia seja bloqueada, como em um caso recente, eles ainda enviam ameaçadoras notas de resgate via e-mail - prova de que eles podem se adaptar e executar ataques do começo ao fim.
Como um compromisso inicial, os atores de ameaças de ransomware muitas vezes exploram vulnerabilidades não corrigidas em software amplamente utilizado, como serviços VPN, protocolos de desktop remotos ou aplicativos da web, para obter acesso inicial à rede da vítima. Os atacantes também podem usar e-mails de phishing ou sites legítimos comprometidos para distribuir cargas de ganho maliciosas. Esses e-mails geralmente contêm anexos maliciosos ou links que, quando abertos, implantam o ransomware.
Em OEstablishing Persistence phase,Uma vez dentro, os atacantes implantam ferramentas de gerenciamento remoto legítimas ou implantes maliciosos como trojans de acesso remoto. Essas ferramentas permitem acesso contínuo e ajudam a evitar a detecção. Os atacantes muitas vezes descarregam credenciais do sistema comprometido (através de dumpes de memória ou credenciais de navegador da web) para escalar privilégios e se espalhar dentro da rede.
Depois de obter acesso a uma máquina, os atacantes muitas vezes usam ferramentas de varredura de rede para identificar outros dispositivos vulneráveis na rede como movimento lateral.O varredura de rede permite que eles se movam lateralmente entre sistemas e acessem mais alvos de alto valor.Uma vez que as vulnerabilidades são identificadas, o ransomware pode se propagar através da rede explorando SMB, RDP ou aproveitando protocolos inseguros.
Data Exfiltration (Double Extortion)
Antes da encriptação de arquivos, grupos de ransomware filtram dados sensíveis ou valiosos para locais externos (cloud storage, servidores de comando e controle). ataques avançados de ransomware usam extorsão dupla, na qual os cibercriminosos colocam pressão extra na vítima para pagar o valor do resgate; caso contrário, eles podem distribuir os dados roubados para fóruns públicos ou a web escura.
Um relatório daAliança Global de Segurança Cibernética (ISAGCA)destacou que os atores modernos de ameaças evoluíram para usar novos métodos de propagação de ataques na paisagem de ameaças de cibersegurança, e o ransomware de extorsão dupla é um dos métodos sofisticados que fizeram manchetes desde 2020.
Os arquivos são tipicamente criptografados com fortes algoritmos de criptografia e renomeados com uma extensão de arquivo única, tornando a recuperação difícil sem a chave de descriptografia. Algumas cepas de ransomware empregam técnicas específicas, como fragmentação de arquivos ou criptografia tampão, para acelerar o processo de criptografia, tornando a detecção mais difícil. Uma nota de resgate (geralmente um arquivo de texto ou página HTML) é lançada no sistema infectado, exigindo pagamento em criptomoeda para descriptografar os arquivos.
Ransomware muitas vezes usa técnicas como obstrução de código ou embalagem (por exemplo, UPX ou packs personalizados) para evitar a detecção por ferramentas de segurança tradicionais. Alguns ransomware é projetado para detectar se ele está executando em um ambiente de sandbox, que ferramentas de segurança usam para analisar malware.
Analistas de segurança podem monitorar extensões de arquivo repentinas e incomuns ou padrões de renomeamento de arquivos que podem indicar atividade de criptografia. Até certo ponto, rastrear o tráfego de rede suspeito para exfiltração ou comunicação com IPs externos pode destacar a atividade de ransomware. Detectar execuções de comandos anômalas, especialmente aquelas associadas ao dumping de credenciais, ferramentas de movimento lateral ou ferramentas de acesso remoto, pode ser um indicador-chave. A criação de notas de resgate em diretórios ou a aparência de arquivos com extensões incomuns indica um ataque de ransomware.
Cactus's Tactics, Techniques, and Procedures (TTPs)
A atividade do grupo corresponde a muitas técnicas conhecidas no quadro de cibersegurança MITRE ATT&CK. Aqui está uma desintegração simplificada:
- Acesso inicial: Phishing (T1566.003), abuso de ferramentas de colaboração (T1199)
- Execução: Execução de arquivo malicioso (arquivos .bpx) (T1204.002)
- Persistência: Modificações do Registro (T1547.001)
- Privilege Escalation: DLL sideloading (T1574.001)
- Evasão de defesa: mascarar arquivos (T1036.005), desativar firewalls (T1562.004)
- Movimento lateral: Usando WinRM e SMB (T1021.002, T1021.006)
- Comando e Controle: Canais criptografados com implantes BackConnect (T1071.001, T1571)
- Transferência de arquivos WinSCP (T1105)
- Impacto: Criptografia de arquivos (T1486), notas de resgate e ameaças
Final Thoughts
Para mitigar e responder a ataques de cactus ransomware, uma vez que uma infecção de cactus é detectada, isolar as máquinas afetadas da rede é crucial para evitar a propagação adicional. Ter backups bons, isolados e atualizados é essencial para a recuperação. Backup regular garante que os sistemas podem ser restaurados sem pagar o resgate. Pós-ataque, conduzir análises forenses pode ajudar a determinar o vetor de ataque, sistemas afetados e âmbito de exfiltração de dados. As organizações devem permanecer alertas, monitorar indicadores-chave e priorizar a conscientização de segurança cibernética e o planejamento de resposta para ficar à frente de ameaças como o Cactus.
O sucesso na defesa de ransomware não é uma questão de implantar as ferramentas mais avançadas; trata-se de usar as ferramentas certas de forma mais abrangente e eficaz como parte da estratégia de segurança.
