Novi ransomware Cactus ima jedinstvenu taktiku za izbegavanje antivirusa

Opisi virusa, 09.05.2023, 09:00 AM

Novi ransomware Cactus ima jedinstvenu taktiku za izbegavanje antivirusa

Istraživači iz kompanije za korporativne istrage i konsalting rizika Kroll otkrili su novu, sofisticiranu kampanju ransomwarea pod nazivom Cactus. Reč je o ciljanim napadima na velike komercijalne subjekte koji se realizuju iskorišćavanjem ranjivosti u popularnim VPN uređajima, zahvaljujući kojima napadači dobijaju inicijalni pristup mrežama žrtava.

Operacija ransomwarea Cactus je najverovatnije počela u martu. Žrtve su ucenjene da isplate velike svote novca na ime otkupnine.

Napadači koriste taktike uobičajene u ransomware napadima - šifrovanje i krađu fajlova. Ali ono po čemu se razlikuju od drugih je nova taktika koju koriste da bi izbegli otkrivanje - ransomware Cactus se sam šifruje da ga antivirusni softver ne bi otkrio, što borbu protiv njega čini značajno težom.

Stručnjaci za sajber bezbednost u Krollu otkrili su da se Cactus ransomware infiltrira u mreže svojih žrtava iskorišćavajući bezbednosne propuste u VPN uređajima. Istraživači su primetili da su hakeri uspeli da uđu u ove mreže preko VPN servera koristeći kompromitovane VPN naloge.

Jedinstvena karakteristika Cactus ransomwarea leži u njegovoj sposobnosti samošifrovanja. Da bi to postigli, napadači koriste skriptu za preuzimanje šifratora uz pomoć 7-Zip, popularnog alata za kompresiju.

Ovaj nekonvencionalni pristup je uzbunio stručnjake za sajber bezbednost, koji upozoravaju organizacije da moraju biti u stanju pripravnosti zbog takvih neuhvatljivih pretnji.

Da bi maksimizirao štetu, Cactus ransomware pokreće skriptu koja deinstalira najčešće korišćene antivirusne programe. Pre šifrovanja fajlova na kompromitovanim mašinama, podaci se eksfiltriraju na server u oblaku, a zatim se pokreće proces šifrovanja.

Cactus koristi više ekstenzija za šifrovane fajlove. Kada priprema fajl za šifrovanje, Cactus menja njegovu ekstenziju u .CTS0, a nakon šifrovanja u .CTS1.

Oni koji stoje iza ove kampanje još uvek nisu napravili namenski veb sajt za objavljivanje ukradenih podataka, kao što to uobičajeno rade slične grupe da bi izvršile dodatni pritisak na žrtve koje odbijaju da plate. Međutim, njihova poruka o otkupnini eksplicitno pominje objavljivanje ukradenih dokumenata ako žrtve odbiju da plate otkup. Za sada nema detalja o tome da li hakeri drže reč i daju dekriptor žrtvama koje plate.

Foto: Ed Hardie / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje

Špijunski malver za Android i iOS uređaje, sada ima i verziju za macOS

Špijunski malver za Android i iOS uređaje, sada ima i verziju za macOS

Stručnjaci firme ThreatFabric su upozorili na novu verziju malvera LightSpy, koja je dizajnirana za Appleove Mac računare. Ovo je vest zbog toga št... Dalje

Sajber kriminalci imaju novi malver koji može da opljačka svaki bankomat u Evropi

Sajber kriminalci imaju novi malver koji može da opljačka svaki bankomat u Evropi

Novi ATM malver za bankomate pojavio se u Evropi. Reč je o malveru koji se prodaje na jednom hakerskom forumu pod nazivom „EU ATM Malware&ldquo... Dalje

Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare

Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare

Mac računari su meta novog opasnog malvera nazvanog Cuckoo (Kukavica). Reč je o trojancu sakrivenom u legitimnom softveru kao što je Spotify, koji ... Dalje