Ransomware Cactus: Angriffe auf VPN-Schwachstellen

Seit März treibt eine neue Ransomware-Bande namens Cactus sein Unwesen in der digitalen Welt. Die Cyberkriminellen haben es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. Auch hochrangige Unternehmen geraten zunehmend ins Visier und die Bande fordert bereits hohe Lösegelder. Wir erklären Ihnen in unserem Blogbeitrag, wie die Ransomware Cactus vorgeht und was bisher noch bekannt ist.
Was ist Ransomware Cactus?
Cyberkriminelle sind dafür bekannt, sich immer wieder neue Möglichkeiten einfallen zu lassen, um Schadsoftware einzuschleusen und Systeme zu kompromittieren. So auch im Fall von Ransomware: Die Sicherheitsforscher von „BleepingComputer“ haben neue raffinierte Ransomware-Variante namens „Cactus“ entdeckt. Diese nutzt vor allem Schwachstellen in VPN-Anwendungen, um in fremde Netzwerke zu gelangen. Das Besondere dabei: Die Cactus-Ransomware kann sich offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig.
Wie Forscher von in einem Bericht „CACTUS Ransomware: Prickly New Variant Evades Detection“ zur neuen Ransomware erklären, leitet sich der Name „Cactus“ von dem angegebenen Dateinamen cAcTuS.readme.txt und dem Namen in der Lösegeldforderung ab.
So funktioniert die neue Ransomware Cactus
In der Regel werden bei Ransomware Malware verwendet, um ein anderes System zu infizieren. Nachdem Ransomware schließlich auf das andere System geladen wurde, verschlüsselt diese den Zugang zu Dateien, Software und Programmen. Die Cyberkriminellen fordern bei dieser Art von Angriff von den Betroffenen ein Lösegeld für die Entschlüsselung der Dateien.
Was Cactus, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen.
Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet. Über den VPN-Server greifen die Cyberkriminellen auf das Netzwerk zu und führen ein Batch-Script aus, durch das die eigentliche Ransomware geladen wird. Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert. Mithilfe eines speziellen Schlüssels in der Befehlszeile können die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr haben.
Zusätzliches Geschäftsmodell mit Double Extortion
Doch damit nicht genug: Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch kann die Ransomware-Bande ein weiteres Druckmittel. Erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyberkriminellen damit drohen, die erbeuteten Daten zu veröffentlichen. Dies wird auch in der Lösegeldforderung von Ransomware Cactus erwähnt.
Verbreitung von Ransomware Cactus
Ransomware Cactus hat vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier, weil diese aufgrund der hohen Wichtigkeit der Daten eher dazu bereit sind, größere Lösegeldsummen zu bezahlen. Laut verschiedener Berichte sollen die Forderungen bei bisherigen Cactus-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den Cactus-Angriffen betroffen sind, ist noch nicht bekannt – bisher wurden noch keine sensiblen Daten veröffentlicht.
Was steckt hinter Ransomware Cactus?
Bislang ist noch nicht bekannt, wer hinter der neuen Ransomware-Bande steckt. Die Ermittlungen laufen auf Hochtouren.
So schützen Sie sich vor Ransomware Cactus
Ransomware Cactus ist äußerst gefährlich, da gängige Virenscanner diese durch die verschlüsselten Angriffe nur schwer erkennen können. Doch es gibt Ansätze, wie Sie sich vor Angriffen schützen können.
Dazu gehören:
- Nutzen Sie die neuesten Software-Updates Ihrer Anwendungen und halten Sie öffentlich zugängliche Systeme auf dem neuesten Stand
- Überwachen Sie Ihr Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere PowerShell
- Implementieren Sie einen Passwort-Manager
- Nutzen Sie Zwei-Faktor-Authentifizierung
- Administrator- und Dienstkonten überprüfen
- regelmäßige Backups erstellen
Fazit: Trickreiche Ransomware Cactus verbreitet sich schnell
Ransomware bleibt eine „never ending Story“: Die neue Cactus-Variante greift so aktuell in erster Linie über Fortinet VPN-Server an. Durch den Ansatz der „doppelten Erpressung“ soll ein höheres Lösegeld erreicht werden und die Angriffe speziell auf das jeweilige Opfer zugeschnitten sein. Nutzen Sie zum Schutz daher unbedingt die neuesten Software-Updates des Anbieters, überwachen Sie Ihr Netzwerk kontinuierlich und reagieren Sie schnell bei Auffälligkeiten.
Schreibe einen Kommentar