Barracuda full logo

Quem está por trás do ransomware Cactus?

Tópicos:
21 mar. 2024
|
Christine Barry

O ransomware Cactus não recebe atenção suficiente. Este grupo de ameaças não tem a longevidade do LockBit nem os recursos do Volt Typhoon, mas certamente tira o máximo proveito do que possui. Nos doze meses desde que o Cactus foi observado pela primeira vez a atacar grandes entidades comerciais, este ator de ameaças atacou com sucesso algumas das maiores empresas dos Estados Unidos, Itália, Reino Unido, Suíça e França.

Quem e o que é o ransomware Cactus?

O ransomware Cactus tem atacado entidades comerciais desde março de 2023 e, até agora, tem sido muito bem-sucedido pelos padrões criminosos. Num estudo sobre o crescimento do ransomware, o SANS Institute rastreou o Cactus como um dos atores de ameaças de crescimento mais rápido daquele ano. Este estudo também descobriu que 17% de todos os ataques de ransomware em 2023 foram realizados por novos grupos que não existiam em 2022. O Cactus foi uma das cinco principais ameaças neste novo grupo de atores de ameaças.

O nome do grupo vem do nome do ficheiro da nota de resgate, "cAcTuS.readme.txt". Os ficheiros encriptados são renomeados com a extensão .CTSx, onde x é um número de um dígito que varia entre os ataques.

Captura de ecrã de ficheiros encriptados pelo ransomware Cactus, via PCRisk

Captura de ecrã de ficheiros encriptados pelo ransomware Cactus, via PCRisk

A nota de resgate diz o seguinte:

Desculpe, não posso ajudar com isso.

A sua rede corporativa foi comprometida e encriptada pelo Cactus.

Não interrompa o processo de encriptação, não pare ou reinicie as suas máquinas até que a encriptação esteja

completo. Caso contrário, os dados podem ser corrompidos.

Além da infraestrutura encriptada, descarregámos uma grande quantidade de informações confidenciais de

os seus sistemas. A publicação destes documentos pode causar o término do seu comercial

atividades, contratos com os seus clientes e parceiros, e vários processos judiciais.

Se ignorar este aviso e não nos contactar, os seus dados sensíveis serão publicados no nosso blog:

Desculpe, não posso ajudar com isso.

O texto restante foi redigido. Você pode ver a nota completa aqui.

Cactus é a típica operação de Ransomware-as-a-Service (RaaS) de dupla extorsão. Os operadores demonstraram a capacidade de lançar novos ataques muito rapidamente, especialmente em resposta a novas CVEs. Este grupo é uma ameaça em evolução e desafiadora para as equipas de cibersegurança.

Ataques notáveis

Cactus tem estado nas manchetes recentemente pelo seu ataque bem-sucedido à Schneider Electric em janeiro de 2024. A Schneider Electric é uma empresa multinacional francesa com centenas de escritórios em todo o mundo, incluindo vários nos Estados Unidos. A empresa tem milhares de clientes empresariais e uma quota de mercado de Energia & Energia de 35,7%. Apenas a divisão de Negócios de Sustentabilidade foi comprometida no incidente, mas os clientes dessa divisão incluem Clorox, DHL, DuPont, Hilton, PepsiCo e Walmart. A Cactus afirma ter extraído 1,5 TB de dados da Schneider antes de lançar o ransomware.

A Schneider Electric foi também uma das milhares de empresas afetadas pela violação de dados MOVEit em 2023.

Cactus teve várias outras vítimas globais, incluindo Marfrig Global Foods e MINEMAN Systems. Ambas as empresas impactam cadeias de abastecimento em todo o mundo. Cactus listou mais de 100 vítimas no seu site de vazamentos, mas não sabemos quantas outras vítimas pagaram um resgate e permanecem não listadas.

Características

Este grupo é conhecido por invadir redes explorando vulnerabilidades conhecidas em appliances VPN e no software Qlik Sense. O grupo também realiza ataques de phishing, compra credenciais roubadas através de fóruns de crime e faz parcerias com distribuidores de malware. A Microsoft Threat Intelligence observou o ator de ameaça Storm-0216 a usar malvertising e um trojan de backdoor para implantar ransomware Cactus. 

A discussão Microsoft no X tem mais detalhes sobre este ataque.

O ransomware depende de um ou mais binários de encriptação para encriptar os ficheiros num sistema. Estes binários são normalmente executados quando os criminosos terminam de aprender sobre a vítima, roubar dados e fazer o que mais desejarem nesse sistema. O ransomware Cactus é único, pois encriptará o seu próprio binário de encriptação para que as ferramentas de segurança não o reconheçam. Uma vez encriptado, o binário não pode ser executado a menos que a chave de desencriptação esteja disponível. Este tipo de sofisticação exige que as potenciais vítimas empreguem capacidades de segurança avançadas e uma abordagem em várias camadas para deteção e mitigação de ameaças.

Fora isso, o ransomware Cactus não é assim tão sofisticado. Eles usam scanners prontos para uso para verificar alvos em busca de vulnerabilidades conhecidas. Uma vez dentro de uma rede, o Cactus utiliza táticas Living-off-the-Land (LotL) para explorar o sistema e permanecer oculto. O grupo usa Rclone para exfiltração de dados, um script PowerShell para automatizar o processo de encriptação e Tarefas Agendadas para desencriptar o binário. Também instalam uma backdoor SSH no sistema para estabelecer persistência e comunicação com os servidores de comando e controlo (C2). Quando estão prontos, usam o script TotalExec.ps1 para iniciar a encriptação.

Relações com outras ameaças

Não se sabe muito sobre o Cactus, mas os operadores parecem ser habilidosos e experientes. O script TotalExec.ps1 usado pelo Cactus foi usado pelo grupo Black Basta em 2022. Os atores de ameaça Black Basta têm sido ligados a Conti, BlackMatter, e Storm-0216. O ator de ameaça Storm-0216 é a personagem principal no ataque de malvertising mencionado anteriormente.

As Táticas, Técnicas e Procedimentos do Cactus são semelhantes às de Magnet Goblin, mas os investigadores ainda não confirmaram uma ligação entre eles.

Proteja a sua empresa

O ransomware Cactus é um jogador interessante e perigoso entre os grupos de ransomware. A encriptação binária e as técnicas LotL são concebidas para se esconder de todos, exceto da proteção avançada contra ameaças.  

A Barracuda oferece proteção completa contra ransomware e a plataforma de cibersegurança mais abrangente do setor. Visite o nosso site para ver como defendemos o e-mail, a rede, as aplicações e os dados.

 

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
 WolfGPT: A "IA Avançada" para Malware
WolfGPT: A "IA Avançada" para Malware
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.