Aktuelles, Branche - geschrieben von dp am Montag, Juni 19, 2023 18:34 - noch keine Kommentare
Cactus: Neue trickreiche Ransomware verbreitet sich schnell
Auf Opfer zugeschnittene Cactus-Angriffe laufen derzeit über Fortinet VPN-Server
[datensicherheit.de, 19.06.2023] Laut einer aktuellen Meldung der PSW GROUP treibt eine neue Ransomware-Bande namens „Cactus“ ihr Unwesen in der digitalen Welt: Diese Cyber-Kriminellen hätten es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. IT-Sicherheitsexpertin Patrycja Schrenk warnt: „Die ,Cactus’-Ransomware kann sich zudem offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig.“ Der Name „Cactus“ leitet sich demnach von dem angegebenen Dateinamen „cAcTuS.readme.txt“ und dem Namen in der Lösegeldforderung ab. Bislang sei noch nicht bekannt, wer hinter dieser neuen Ransomware-Bande steckt. „Die Ermittlungen laufen auf Hochtouren.“
Patrycja Schrenk rät, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten zu überwachen…
Im Fokus eines Cactus-Angriffs stehen Schwachstellen in bekannten VPN-Servern von Fortinet
„Was ,Cactus’, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen. Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet“, erläutert die Geschäftsführerin der PSW GROUP:
Über den VPN-Server griffen die Cyber-Kriminellen auf das Netzwerk zu und führten ein Batch-Script aus, durch welches die eigentliche Ransomware geladen werde. „Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert.“ Mithilfe eines speziellen Schlüssels in der Befehlszeile könnten die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr hätten.
Die Cactus-Ransomware-Bande erhält weiteres Druckmittel
„Doch damit nicht genug“, so Schrenk – sie führt weiter aus: „Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch erhält die Ransomware-Bande ein weiteres Druckmittel. Denn erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyber-Kriminellen damit drohen, die erbeuteten Daten zu veröffentlichen.“
„Cactus“ habe vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier. Laut verschiedener Berichte sollten die Forderungen bei bisherigen „Cactus“-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den „Cactus“-Angriffen betroffen sind, ist laut Schrenk noch nicht bekannt – „bisher wurden noch keine sensiblen Daten veröffentlicht“.
Ransomware Cactus äußerst gefährlich
„Die Ransomware ,Cactus’ ist äußerst gefährlich, da gängige Viren-Scanner diese aufgrund der verschlüsselten Angriffe nur schwer erkennen können“, unterstreicht Schrenk und rät: „Deshalb ist es umso wichtiger, sich vor Angriffen mit Präventivmaßnahmen zu schützen. Dazu gehört es, Anwendungen und öffentlich zugängliche Systeme stets auf dem neuesten Stand zu halten und Patches umgehend einzuspielen.“
Auch rät sie abschließend, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere „PowerShell“, zu überwachen und schnell zu reagieren, einen Passwort-Manager zu implementieren sowie eine Zwei-Faktor-Authentifizierung zum Standard zu machen. Ergänzend lohne sich die regelmäßige Überprüfung der Administrator- und Dienstkonten. Die Erstellung regelmäßiger Backups sollte obligatorisch sein.
Weitere Informationen zum Thema:
PSW GROUP, Juliane Groß, 13.06.2023
IT-Security / Ransomware Cactus: Angriffe auf VPN-Schwachstellen
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren