Ransomware Cactus, o que precisa saber? 

O rápido desenvolvimento de novas variantes de ransomware tornou-se uma prática comum. Os cibercriminosos criam continuamente tipos novos e inovadores de ameaças para otimizar as suas estratégias de ataque e extrair resgates maiores. O ransomware Cactus, ativo desde março de 2023, é um exemplo particularmente desagradável de como operações de ransomware exploram vulnerabilidades em dispositivos e equipamentos para obter acesso inicial às redes de grandes organizações empresariais. Embora o novo agente de ameaça empregue as táticas usuais vistas em ataques de ransomware (como criptografia de arquivos e roubo de dados), ele também adicionou seu próprio recurso especial à sua lista de recursos para evitar a detecção, chamada de técnica de configuração criptografada, o que torna mais difícil a detecção e o ajuda a escapar de ferramentas antivírus e de monitoramento de rede. A rotina de criptografia usada nos ataques do ransomware Cactus é única. No entanto, este método não parece ser exclusivo do Cactus, já que o grupo de ransomware Black Basta adotou recentemente um processo de criptografia semelhante. 

Acredita-se que o ransomware Cactus obtém acesso inicial à rede da vítima explorando vulnerabilidades conhecidas nos dispositivos VPN. Esta avaliação baseia-se na observação de que em todos os incidentes investigados, o hacker penetrou a partir de um servidor VPN com uma conta de serviço VPN. 

Para lançar as várias ferramentas necessárias para o ataque, o ransomware Cactus usa vários métodos de acesso remoto por meio de ferramentas legítimas como o AnyDesk, junto com tentativas de ferramentas de proxy baseadas em Cobalt Strike e Go (Chisel). Para uma identificação mais profunda e detalhada, o invasor usa comandos do PowerShell para automatizar o processo de criptografia, enumerar endpoints, identificar contas de usuário visualizando logins bem-sucedidos no visualizador de eventos do Windows e executar ping em hosts remotos. Após aumentar os privilégios em um dispositivo, os operadores do Cactus executam um script em lote que desinstala os produtos antivírus mais comumente usados. 

Como a maioria das operações de ransomware, o Cactus rouba dados da vítima. Para este processo, o agente da ameaça usa a ferramenta Rclone para transferir arquivos diretamente para o armazenamento em nuvem. O malware Cactus representa uma grande ameaça, especialmente para empresas maiores, já que os invasores ameaçam publicar dados roubados se o resgate não for pago. Muitas vezes são somas na casa dos milhões. É, portanto, urgente que as empresas tomem as devidas precauções de segurança tais como: 

• Monitoramento 24 horas por dia, 7 dias por semana: o monitoramento contínuo protege contra ransomware e outras ameaças cibernéticas. As atividades suspeitas podem, portanto, ser identificadas numa fase inicial e podem ser tomadas contramedidas. 

• Defesa contra ransomware em várias camadas: Mecanismos de proteção bem elaborados ajudam a proteger seus dados contra ataques cibernéticos.  

• Eliminação de lacunas de segurança: Usando tecnologias especiais que ajudem a descobrir, avaliar e eliminar riscos de segurança. 

Os cibercriminosos estão constantemente mudando suas estratégias e exigindo que sejam adotadas medidas de segurança adicionais. A proteção eficaz das redes corporativas normalmente só pode ser garantida por especialistas. Como renomada empresa de segurança de TI no Brasil, podemos apoiar sua empresa de forma individual e profissional. Nossos serviços gerenciados, como antivírus, firewall e produtos AntiSpam, podem detectar e eliminar até mesmo os malware mais difíceis. Esses serviços são executados automaticamente e em segundo plano, sem a sua intervenção, para que você não precise mais se preocupar com possíveis tentativas de chantagem ou perda de dados. Não hesite em contactar-nos e vamos desenvolver juntos uma estratégia de segurança para a sua empresa. Fale conosco!