Cactus jest najnowszym oprogramowaniem typu ransomware, które skierowane jest na pracowników zdalnych. Wirus wykorzystuje luki podczas łączenia z siecią VPN w celu uzyskania wstępnego dostępu do dużych sieci korporacyjnych.

Ransomware Cactus pozostaje w użyciu od marca 2023 roku. Atakujący wykorzystujący to oprogramowanie nastawiają się na wysokie okupy od dużych organizacji.

Zobacz również:

• Microsoft Edge z wbudowanym VPN z 5 GB bezpłatnego transferu
• Demokratyzacja ransomware – znak naszych czasów

Rozwiązanie działa podobnie do klasycznego oprogramowania typu ransomware. Cały atak polega na zaszyfrowaniu plików na dysku zainfekowanego urządzenia oraz kradzieży danych.

Według badaczy do spraw cyberbezpieczeństwa z firmy Kroll, oprogramowanie wykorzystuje znane luki w urządzeniach VPN produkowanych przez firmę Fortinet.

Cactus wykorzystuje nietypową metodę szyfrowania danych, która opiera się na podmianie zaszyfrowanego archiwum ZIP z wykorzystaniem unikalnych kluczy szyfrujących z rodziny AES, które uniemożliwiają łatwy dostęp do plików przez użytkownika zainfekowanego urządzenia.

Ransomware Cactus posiada wbudowane narzędzia szyfrujące, co utrudnia jego wykrycie jednocześnie ułatwiając omijanie zabezpieczeń w postaci antywirusów i narzędzi monitorujących ruch w sieci.

Aktualnie nie są znane szczegółowe informacje dotyczące przeprowadzenia udanych ataków z wykorzystaniem ransomware typu Cactus.

Badacze do spraw bezpieczeństwa cybernetycznego zalecają instalację najnowszych wersji oprogramowania układowego na urządzeniach do obsługi sieci prywatnej VPN wykorzystywanych w organizacjach.