Cactus jest najnowszym oprogramowaniem typu ransomware, które skierowane jest na pracowników zdalnych. Wirus wykorzystuje luki podczas łączenia z siecią VPN w celu uzyskania wstępnego dostępu do dużych sieci korporacyjnych.

Ransomware Cactus pozostaje w użyciu od marca 2023 roku. Atakujący wykorzystujący to oprogramowanie nastawiają się na wysokie okupy od dużych organizacji.

Zobacz również:

• Najnowsza aktualizacja Windows wpływa na działanie VPN
• Ransomware - liczba ataków spada, ale są bardziej kosztowne

Rozwiązanie działa podobnie do klasycznego oprogramowania typu ransomware. Cały atak polega na zaszyfrowaniu plików na dysku zainfekowanego urządzenia oraz kradzieży danych.

Według badaczy do spraw cyberbezpieczeństwa z firmy Kroll, oprogramowanie wykorzystuje znane luki w urządzeniach VPN produkowanych przez firmę Fortinet.

Cactus wykorzystuje nietypową metodę szyfrowania danych, która opiera się na podmianie zaszyfrowanego archiwum ZIP z wykorzystaniem unikalnych kluczy szyfrujących z rodziny AES, które uniemożliwiają łatwy dostęp do plików przez użytkownika zainfekowanego urządzenia.

Ransomware Cactus posiada wbudowane narzędzia szyfrujące, co utrudnia jego wykrycie jednocześnie ułatwiając omijanie zabezpieczeń w postaci antywirusów i narzędzi monitorujących ruch w sieci.

Aktualnie nie są znane szczegółowe informacje dotyczące przeprowadzenia udanych ataków z wykorzystaniem ransomware typu Cactus.

Badacze do spraw bezpieczeństwa cybernetycznego zalecają instalację najnowszych wersji oprogramowania układowego na urządzeniach do obsługi sieci prywatnej VPN wykorzystywanych w organizacjach.