IT-Security

Ransomware Cactus: Angriffe auf VPN-Schwachstellen

16. Mai 2023 von Juliane Groß
Ransomware Cactus
©canva - canva.com

1
(1)

Seit März treibt eine neue Ransomware-Bande namens Cactus sein Unwesen in der digitalen Welt. Die Cyberkriminellen haben es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. Auch hochrangige Unternehmen geraten zunehmend ins Visier und die Bande fordert bereits hohe Lösegelder. Wir erklären Ihnen in unserem Blogbeitrag, wie die Ransomware Cactus vorgeht und was bisher noch bekannt ist.

 

Was ist Ransomware Cactus?

Cyberkriminelle sind dafür bekannt, sich immer wieder neue Möglichkeiten einfallen zu lassen, um Schadsoftware einzuschleusen und Systeme zu kompromittieren. So auch im Fall von Ransomware: Die Sicherheitsforscher von „BleepingComputer“ haben neue raffinierte Ransomware-Variante namens „Cactus“ entdeckt. Diese nutzt vor allem Schwachstellen in VPN-Anwendungen, um in fremde Netzwerke zu gelangen. Das Besondere dabei: Die Cactus-Ransomware kann sich offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig.

Wie Forscher von in einem Bericht „CACTUS Ransomware: Prickly New Variant Evades Detection“ zur neuen Ransomware erklären, leitet sich der Name „Cactus“ von dem angegebenen Dateinamen cAcTuS.readme.txt und dem Namen in der Lösegeldforderung ab.

 

So funktioniert die neue Ransomware Cactus

In der Regel werden bei Ransomware Malware verwendet, um ein anderes System zu infizieren. Nachdem Ransomware schließlich auf das andere System geladen wurde, verschlüsselt diese den Zugang zu Dateien, Software und Programmen. Die Cyberkriminellen fordern bei dieser Art von Angriff von den Betroffenen ein Lösegeld für die Entschlüsselung der Dateien.

Was Cactus, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen.

Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet. Über den VPN-Server greifen die Cyberkriminellen auf das Netzwerk zu und führen ein Batch-Script aus, durch das die eigentliche Ransomware geladen wird. Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert. Mithilfe eines speziellen Schlüssels in der Befehlszeile können die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr haben.

Zusätzliches Geschäftsmodell mit Double Extortion

Doch damit nicht genug: Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch kann die Ransomware-Bande ein weiteres Druckmittel. Erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyberkriminellen damit drohen, die erbeuteten Daten zu veröffentlichen. Dies wird auch in der Lösegeldforderung von Ransomware Cactus erwähnt.

Verbreitung von Ransomware Cactus

Ransomware Cactus hat vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier, weil diese aufgrund der hohen Wichtigkeit der Daten eher dazu bereit sind, größere Lösegeldsummen zu bezahlen. Laut verschiedener Berichte sollen die Forderungen bei bisherigen Cactus-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den Cactus-Angriffen betroffen sind, ist noch nicht bekannt – bisher wurden noch keine sensiblen Daten veröffentlicht.

Was steckt hinter Ransomware Cactus?

Bislang ist noch nicht bekannt, wer hinter der neuen Ransomware-Bande steckt. Die Ermittlungen laufen auf Hochtouren.

 

So schützen Sie sich vor Ransomware Cactus

Ransomware Cactus ist äußerst gefährlich, da gängige Virenscanner diese durch die verschlüsselten Angriffe nur schwer erkennen können. Doch es gibt Ansätze, wie Sie sich vor Angriffen schützen können.

Dazu gehören:

  • Nutzen Sie die neuesten Software-Updates Ihrer Anwendungen und halten Sie öffentlich zugängliche Systeme auf dem neuesten Stand
  • Überwachen Sie Ihr Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere PowerShell
  • Implementieren Sie einen Passwort-Manager
  • Nutzen Sie Zwei-Faktor-Authentifizierung
  • Administrator- und Dienstkonten überprüfen
  • regelmäßige Backups erstellen

 

Fazit: Trickreiche Ransomware Cactus verbreitet sich schnell

Ransomware bleibt eine „never ending Story“: Die neue Cactus-Variante greift so aktuell in erster Linie über Fortinet VPN-Server an. Durch den Ansatz der „doppelten Erpressung“ soll ein höheres Lösegeld erreicht werden und die Angriffe speziell auf das jeweilige Opfer zugeschnitten sein. Nutzen Sie zum Schutz daher unbedingt die neuesten Software-Updates des Anbieters, überwachen Sie Ihr Netzwerk kontinuierlich und reagieren Sie schnell bei Auffälligkeiten.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 1 / 5. Vote count: 1

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Loader Loader