Ransomware Cactus: Angriffe auf VPN-Schwachstellen

Seit März treibt eine neue Ransomware-Bande namens Cactus sein Unwesen in der digitalen Welt. Die Cyberkriminellen haben es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. Auch hochrangige Unternehmen geraten zunehmend ins Visier und die Bande fordert bereits hohe Lösegelder. Wir erklären Ihnen in unserem Blogbeitrag, wie die Ransomware Cactus vorgeht und was bisher noch bekannt ist.

Was ist Ransomware Cactus?

Cyberkriminelle sind dafür bekannt, sich immer wieder neue Möglichkeiten einfallen zu lassen, um Schadsoftware einzuschleusen und Systeme zu kompromittieren. So auch im Fall von Ransomware: Die Sicherheitsforscher von „BleepingComputer“ haben neue raffinierte Ransomware-Variante namens „Cactus“ entdeckt. Diese nutzt vor allem Schwachstellen in VPN-Anwendungen, um in fremde Netzwerke zu gelangen. Das Besondere dabei: Die Cactus-Ransomware kann sich offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig.

Wie Forscher von in einem Bericht „CACTUS Ransomware: Prickly New Variant Evades Detection“ zur neuen Ransomware erklären, leitet sich der Name „Cactus“ von dem angegebenen Dateinamen cAcTuS.readme.txt und dem Namen in der Lösegeldforderung ab. An anderer Stelle wird allgemeiner von Malware Cactus gesprochen.

Wie funktioniert die neue Ransomware Cactus?

In der Regel werden bei Ransomware Malware verwendet, um ein anderes System zu infizieren. Nachdem Ransomware schließlich auf das andere System geladen wurde, verschlüsselt diese den Zugang zu Dateien, Software und Programmen. Die Cyberkriminellen fordern bei dieser Art von Angriff von den Betroffenen ein Lösegeld für die Entschlüsselung der Dateien.

Was Cactus, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen.

Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet. Über den VPN-Server greifen die Cyberkriminellen auf das Netzwerk zu und führen ein Batch-Script aus, durch das die eigentliche Ransomware geladen wird. Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert. Mithilfe eines speziellen Schlüssels in der Befehlszeile können die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr haben.

Zusätzliches Geschäftsmodell mit Double Extortion

Doch damit nicht genug: Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch kann die Ransomware-Bande ein weiteres Druckmittel. Erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyberkriminellen damit drohen, die erbeuteten Daten zu veröffentlichen. Dies wird auch in der Lösegeldforderung von Ransomware Cactus erwähnt.

Verbreitung von Ransomware Cactus

Ransomware Cactus hat vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier, weil diese aufgrund der hohen Wichtigkeit der Daten eher dazu bereit sind, größere Lösegeldsummen zu bezahlen. Laut verschiedener Berichte sollen die Forderungen bei bisherigen Cactus-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den Cactus-Angriffen betroffen sind, ist noch nicht bekannt – bisher wurden noch keine sensiblen Daten veröffentlicht.

Was steckt hinter Ransomware Cactus?

Bislang ist noch nicht bekannt, wer hinter der neuen Ransomware-Bande steckt. Die Ermittlungen laufen auf Hochtouren.

Wie Sie sich vor Ransomware Cactus schützen können

Ransomware Cactus ist äußerst gefährlich, da gängige Virenscanner diese durch die verschlüsselten Angriffe nur schwer erkennen können. Doch es gibt Ansätze, wie Sie sich vor Angriffen schützen können.

Dazu gehören:

• Updates: Nutzen Sie die neuesten Software-Updates Ihrer Anwendungen und halten Sie öffentlich zugängliche Systeme auf dem neuesten Stand
• Monitoring: Überwachen Sie Ihr Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere PowerShell
• Passwort Manager: Implementieren Sie einen Passwort-Manager, um Ihre Zugangsdaten noch besser abzusichern
• 2FA: Nutzen Sie Zwei-Faktor-Authentifizierung
• Zugänge überwachen: Administrator- und Dienstkonten überprüfen
• Backups: Erstellen Sie regelmäßige Backups, um essenzielle Daten zu sichern

Zusammenfassung zu Ransomware Cactus:

Die Cyberkriminellen hinter Ransomware Cactus sind seit mindestens März 2023 aktiv. Besonders gefährlich ist Ransomware Cactus deshalb, weil Sie sich selbst verschlüsselt und dadurch nur schwer erkannt wird. Dieser Kniff macht es möglich, dass Ransomware Cactus herkömmliche Antivirenscanner umgehen kann.

Die zentralen Angriffsvektoren sind Schwachstellen in VPN-Anwendungen. Zur Gefahrenabwehr ist besonders das Monitoring hervorzuheben. Nutzen Sie zum Schutz daher unbedingt die neuesten Software-Updates des Anbieters, überwachen Sie Ihr Netzwerk kontinuierlich und reagieren Sie schnell bei Auffälligkeiten.

Fazit: Trickreiche Ransomware Cactus verbreitet sich schnell

Ransomware bleibt eine „never ending Story“: Die neue Cactus-Variante greift so aktuell in erster Linie über Fortinet VPN-Server an. Durch den Ansatz der „doppelten Erpressung“ soll ein höheres Lösegeld erreicht werden und die Angriffe speziell auf das jeweilige Opfer zugeschnitten sein. Beachten Sie daher unsere Hinweise zum Schutz vor Ransomware Cactus.

Benötigen Sie Unterstützung bei einem effektiven IT-Sicherheitskonzept? Wir haben uns auf die IT-Sicherheit von Unternehmen spezialisiert und bieten Ihnen von SSL-Zertifikaten bis zu Website-Backup-Services vielfältige Lösungen. Nehmen Sie bei Fragen einfach und unkompliziert Kontakt zu uns auf.