En los últimos años el ransomware ha ido evolucionando y han ido surgiendo variantes mejoradas y cada vez más peligrosas. Cada cierto tiempo los investigadores de seguridad descubren una.
A la más reciente la han apodado como 'Cactus Ransomware'. Este mote derivaría del nombre de archivo vinculado a la nota de rescate que deja a su paso. Siempre hay un documento "cAcTuS.readme.txt" que proporciona las instrucciones de negociación.
La amenaza apenas tiene dos meses de vida o eso es lo que se cree. Los expertos han notado su actividad desde el pasado mes de marzo.
El malware contaría con el poder de cifrarse a sí mismo como uno de sus principales superpoderes. De esta forma evitaría la detección, lo que lo diferenciaría de otras familias de ransomware.
Sus objetivos principales son instituciones comerciales. Para atacarlos aprovecha las vulnerabilidades en los dispositivos VPN de Fortinet con el fin de obtener el acceso inicial.
Cactus tiene una motivación claramente económica y sus peticiones de rescate suelen ser bastante elevadas.
Así opera Cactus
Como decíamos, el malware aprovecha la vulnerabilidad en una cuenta de servicio de VPN para infiltrarse en una red.
Según explica Security Boulevard, Su reconocimiento comienza con la enumeración de dominios y puntos finales, mientras se establece una puerta trasera SSH persistente. Los atacantes explotan herramientas legítimas de acceso remoto como AnyDesk, Splashtop y SuperOps RMM, así como Cobalt Strike y Chisel, para encubrir su comunicación con los servidores C2.
Cuando consolidan su control sobre la red los actores de amenazas desinstalan el antivirus usando msiexec.exe y extraen las credenciales necesarias a través del navegador web y el volcado de credenciales LSASS.
En cuanto a su característica distintiva de autocifrado Cactus usa un script llamado "TotalExec.ps1" y PsExec para automatizar la configuración de su implementación, configurando una cuenta de usuario administrador y extrayendo la carga útil del ransomware.
Durante el cifrado, Cactus emplea la implementación de sobres de OpenSSL para cifrar los archivos de las víctimas con AES y RSA, agregando los archivos con la extensión "cts\d".