Ransomware este un atac de securitate cibernetică conceput pentru a cripta sistemele de fișiere ale computerului, iar infractorii cibernetici cer o răscumpărare pentru a furniza cheia de decriptare.
Cu toate acestea, plata răscumpărării infractorilor cibernetici nu rezolvă problema. CIO-urile moderne sunt copleșite de atacuri ransomware sofisticate. Au dispărut zilele metodelor tradiționale de criptare a fișierelor simple în atacurile ransomware. Analiștii de securitate și liderii de astăzi se luptă cu infractorii cibernetici avansați care folosesc metode personalizate și complexe cu societățile criminale care controlează operațiunile de afaceri.
Cactus ransomware este un atac cibernetic sofisticat.De la descoperirea cactus ransomware, a luat lumea prin furtună, provocând un impact la nivel mondial ca un risc de securitate cibernetică.
Câteva efecte ale Black Basta ransomware sunt după cum urmează:
- O sumă totală de șantaj de 107 milioane de dolari în bitcoini a fost raportată în 2023, iar grupul de amenințare din spatele acestui lucru a fost Black Basta.
- Numai America de Nord a fost atacată în principal de acest incident, urmată de Europa, care reprezintă 18%.
- Ransomware-ul Black Basta a lovit cel mai tare industria de fabricație, imobiliare și construcții. a fost legat de 28 din 373 de incidente de ransomware raportate în aprilie 2024.
- Un consiliu de securitate cibernetică publicat în comun de agențiile americane, FBI, CISA, HHS și MS-ISAC a evidențiat faptul că Black Basta, un ransomware în noiembrie 2024, a lovit 12 din 16 sectoare critice.
- Un raport de amenințare de la Kaspersky a trâmbițat că Black Basta ransomware a fost printre cele 12 familii de ransomware cele mai active în 2023 și a văzut o creștere semnificativă în primul trimestru al anului 2024.
Caracteristica cheie a cactus ransomware este extorcarea dublă. Actorul amenințării nu furnizează cheia de decriptare chiar și după plata răscumpărării. Ei pot exfiltra datele prin furtul online. Cu toate acestea, actorul de amenințare din spatele cactus ransomware este neclar; apărătorii de securitate cred că are o sursă dintr-un grup hacktivist malaezian.
A Look at the Cactus Attack Chains
Cactus ransomware nu este o amenințare cibernetică medie – estehighly sophisticatedGrupul de amenințări din spatele atacurilor Cactus ransomware utilizează un proces de atac în mai multe etape, care combină ingineria socială (cum ar fi mesajele false Microsoft Teams), instrumentele de acces la distanță și implanturile de malware personalizate pentru a infiltra sistemele și a rămâne ascunse.
Odată ce intră în sistemul țintă, agenții de amenințare nu blochează doar fișierele. Ei navighează prin rețele, escaladă privilegiile și mențin ascuns, toate în timp ce se pregătesc pentru lovitura finală: criptare și extorcare. Chiar dacă criptarea lor este blocată, ca într-un caz recent, ei încă trimit amenințătoare note de răscumpărare prin e-mail - dovada că se pot adapta și efectua atacuri de la început până la sfârșit.
Ca un compromis inițial, actori ai amenințărilor ransomware exploatează adesea vulnerabilități nepatch-ate în software-ul utilizat pe scară largă, cum ar fi serviciile VPN, protocoalele de desktop la distanță sau aplicațiile web, pentru a obține accesul inițial la rețeaua victimei.
În cadrulEstablishing Persistence phase,Odată introdus, atacatorii implementează instrumente legitime de gestionare la distanță sau implanturi rău intenționate, cum ar fi troienii de acces la distanță. Aceste instrumente permit accesul continuu și ajută la evitarea detectării.
După ce au obținut acces la o singură mașină, atacatorii folosesc adesea instrumente de scanare a rețelei pentru a identifica alte dispozitive vulnerabile din rețea ca mișcare laterală. Scanarea rețelei le permite să se deplaseze lateral între sisteme și să acceseze mai multe ținte cu valoare ridicată.Odată ce sunt identificate vulnerabilitățile, ransomware-ul se poate răspândi prin rețea prin exploatarea SMB, RDP sau utilizarea de protocoale nesigure.
Data Exfiltration (Double Extortion)
Înainte de criptarea fișierelor, grupurile de ransomware exfiltrează date sensibile sau valoroase în locații externe (cloud storage, servere de comandă și control). atacurile avansate de ransomware folosesc extorcare dublă, în care infractorii cibernetici exercită o presiune suplimentară asupra victimei pentru a plăti suma de răscumpărare; în caz contrar, pot distribui datele furate în forumuri publice sau în rețeaua întunecată.
Un raport alAlianța Globală pentru Securitatea Cibernetică (ISAGCA)A subliniat că actorii moderni ai amenințărilor au evoluat pentru a utiliza noi metode de propagare a atacurilor în peisajul amenințărilor de securitate cibernetică, iar ransomware-ul cu dublă extorcare este una dintre metodele sofisticate care au făcut titluri din 2020.
Fișierele sunt, de obicei, criptate cu algoritmi de criptare puternici și redenumite cu o extensie unică de fișier, ceea ce face ca recuperarea să fie dificilă fără cheia de decriptare. Unele tulpini de ransomware folosesc tehnici specifice, cum ar fi fragmentarea fișierelor sau criptarea tampon pentru a accelera procesul de criptare, ceea ce face ca detectarea să fie mai dificilă. O notă de răscumpărare (adesea un fișier text sau o pagină HTML) este aruncată pe sistemul infectat, cerând plata în criptomonedă pentru a decripta fișierele.
Ransomware folosește adesea tehnici cum ar fi obfuscarea codului sau ambalarea (de exemplu, UPX sau pachete personalizate) pentru a evita detectarea de către instrumentele tradiționale de securitate. Unele ransomware sunt concepute pentru a detecta dacă rulează într-un mediu sandbox, pe care instrumentele de securitate le folosesc pentru a analiza malware.
Analiștii de securitate pot monitoriza extensiile de fișiere bruște, neobișnuite sau modelele de redenumire a fișierelor care pot indica activitatea de criptare. Într-o oarecare măsură, urmărirea traficului de rețea suspect pentru exfiltrare sau comunicare cu IP-uri externe poate evidenția activitatea ransomware. Detectarea execuțiilor de comenzi anormale, în special cele asociate cu dumpingul credențial, instrumentele de mișcare laterală sau instrumentele de acces la distanță, poate fi un indicator cheie. Crearea de note de răscumpărare în directoare sau apariția fișierelor cu extensii neobișnuite indică un atac de ransomware.
Cactus's Tactics, Techniques, and Procedures (TTPs)
Activitatea grupului se potrivește cu multe tehnici cunoscute în cadrul de securitate cibernetică MITRE ATT&CK. Iată o defalcare simplificată:
- Acces inițial: Phishing (T1566.003), abuz de instrumente de colaborare (T1199)
- Executare: Executarea fișierului rău intenționat (.bpx archives) (T1204.002)
- Persistență: modificări ale registrului (T1547.001)
- Privilege Escalation: DLL încărcare laterală (T1574.001)
- Evaziune de apărare: mascarea fișierelor (T1036.005), dezactivarea firewall-urilor (T1562.004)
- Mișcarea laterală: folosind WinRM și SMB (T1021.002, T1021.006)
- Comandă și control: Canale criptate cu implanturi BackConnect (T1071.001, T1571)
- Exfiltrare: Transfer de fișiere WinSCP (T1105)
- Impact: Criptarea fișierelor (T1486), note de răscumpărare și amenințări
Final Thoughts
Pentru a atenua și a răspunde la atacurile de cactus ransomware, odată ce o infecție de cactus este detectată, izolarea mașinilor afectate de rețea este esențială pentru a preveni răspândirea în continuare. Având backup-uri bune, izolate și actualizate este esențială pentru recuperare. Backup-ul regulat asigură că sistemele pot fi restaurate fără a plăti răscumpărarea. După atac, efectuarea de analize forestiere poate ajuta la determinarea vectorului de atac, a sistemelor afectate și a domeniului de aplicare al exfiltrării datelor. Organizațiile trebuie să rămână vigilente, să monitorizeze indicatorii cheie și să prioritizeze conștientizarea securității cibernetice și planificarea răspunsului pentru a rămâne înaintea amen
Succesul în apărarea împotriva ransomware-ului nu este o chestiune de implementare a celor mai avansate instrumente; este vorba despre utilizarea mai cuprinzătoare a instrumentelor potrivite în mod eficient ca parte a strategiei de securitate.
