Aktuelles, Branche, Studien - geschrieben von dp am Freitag, Dezember 1, 2023 21:44 - noch keine Kommentare
Cactus: Ransomware-Newcomer macht bedrohliche Karriere
Laut Logpoint hat sich Cactus zu einer ausgeklügelten Ransomware entwickelt
[datensicherheit.de, 01.12.2023] „Cactus“ soll im März 2023 erstmalig aufgetaucht sein und seitdem schon Daten von ein paar weltweit bekannten Unternehmen infizieren können. Logpoint hat nach einer aktuellen eigenen Meldung Taktiken, Techniken und Prozeduren (TTPs) sowie „Indicators of Compromise“ (IoCs) analysiert, um Abwehrmaßnahmen zu entwickeln, denn „Cactus“ als Ransomware-Neuling zeichnet sich demnach durch ausgefeilten TTPs aus.
Bibek Thapa Magar rät: Im Falle eines ,Cactus“-Angriffs umgehend VPNs, Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren!
Cactus tauchte erstmals im März 2023 auf
„,Cactus‘ hat sich zu einer ausgeklügelten Ransomware entwickelt. Der Newcomer tauchte erstmals im März 2023 auf und hat sich in die ,Top 10‘ der Malware-Gruppen eingereiht, die die meisten monatlichen Opfer provozierten; im November lag die Ransomware laut den Nachforschungen der NCC Group mit 58 Opfern auf Platz 7.“ Diese Gruppe konzentriere sich auf hohe Summen und hat es auf große Unternehmen abgesehen.
Bibek Thapa Magar, „Security Analytics Engineer“ bei Logpoint, erläutert: „,Cactus’ ist ein gutes Beispiel für Ransomware-Gruppen, die bei ihren Angriffen immer ausgefeilte TTPs einsetzen. Was in diesem Fall auffällt, ist, dass die Malware sich selbst verschlüsselt, um der Erkennung zu entgehen.“ Die geschmeidige Art und Weise zur Umgehung der Verteidigung zeige, dass diese Gruppe ihr Spiel gut beherrsche. „,Cactus’ hat sich schnell einen Namen gemacht, indem es Doppelte Erpressung einsetzt, sensible Daten kompromittiert und den Opfern nur wenige Möglichkeiten zur Abwehr lässt“, warnt Magar.
Cactus – eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie automatischer Verschlüsselung und fortlaufender Änderung der Dateierweiterungen
„Cactus“ sei eine ausgeklügelte Ransomware mit einzigartigen Merkmalen wie der automatischen Verschlüsselung und einer fortlaufenden Änderung der Dateierweiterungen nach der Verschlüsselung, wodurch es schwieriger werde, betroffene Dateien zu identifizieren. Diese Ransomware verwende den bekannten und leicht zu entpackenden „UPX“-Packer und unterteile verschlüsselte Dateien in Mikropuffer, möglicherweise, um die Verwaltung der verschlüsselten Datenströme zu beschleunigen.
Logpoint hat nach eigenen Angaben einen Bericht zusammengestellt, welcher „die von ,Cactus’ verwendeten TTPs und IoCs hervorhebt, um Warnregeln zur Erkennung der von der Gruppe verwendeten Methoden zu erstellen“. „Cactus“ nutze bekannte Schwachstellen in „VPN-Appliances“ aus, um sich einen ersten Zugang zu verschaffen und mittels SSH Befehle und Kontrolle zu erlangen. „Die Gruppe versucht, LSASS und Anmeldedaten aus Web-Browsern auszulesen, um ihre Rechte zu erweitern. Schließlich verschafft sich ,Cactus’ mit ,Splashtop’ oder ,AnyDesk’ Zugang zu den Zielcomputern und erstellt mit ,Chisel’ einen Proxy zwischen den infizierten Hosts, bevor er die Dateien verschlüsselt.“
Cactus mahnt potenzielle Opfer: Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware!
Magar betont: „,Cactus’ ist eine gute Erinnerung daran, dass grundlegende Cyber-Hygiene wichtig ist, aber es zeigt auch, dass Überwachung und Erkennung der Schlüssel zum Schutz vor neuerer Ransomware sind!“ Er rät abschließend: „Wenn eine Aktivität entdeckt wird, sollten Sicherheitsanalysten diese untersuchen und sicherstellen, dass sie sich nicht ausbreitet, indem sie virtuelle private Netzwerke (VPNs), Server für den Fernzugriff, Single-Sign-On-Ressourcen und öffentlich zugängliche Anlagen deaktivieren, bevor sie sich um die Eindämmung, Auslöschung und Wiederherstellung kümmern, um die Auswirkungen zu minimieren.“
Logpoints Sicherheitsplattform, „Converged SIEM“, enthalte umfangreiche Werkzeuge und Funktionen zur Identifizierung, Bewertung und Eindämmung der Auswirkungen von „Cactus“-Ransomware. Zusätzlich zu einem Paket von Warnregeln, welche bei der Erkennung von „Cactus“-Aktivitäten helfen sollen, bietet Logpoint nach eigenen Angaben Funktionen, „die es Sicherheitsteams ermöglichen, wesentliche Incident-Response-Verfahren zu automatisieren“.
Weitere Informationen zum Thema:
LOGPOINT, Bibek Thapa Magar, 24.11.2023
Cactus, a new player in the ransomware game – Is it the last? / Fast Facts
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren