Основные характеристики программы-вымогателя

[seonumberlist]

История Кактуса действительно совсем недавняя. Фактически, эта угроза активна с марта 2023 года. Атака использует уязвимости, связанные с устройствами Fortinet VPN, с целью проникновения в сети крупных коммерческих организаций.

Во всех случаях, наблюдаемых Кроллом, злоумышленник получал американские номера телефонов доступ к службе VPN и использовал бэкдор SSH , к которому он затем мог получить доступ с сервера управления и контроля (C2) для сохранения контроля над устройствами. Интересно знать, что, оказавшись внутри сети, киберпреступник проводит разведку с помощью сканера SoftPerfect Network Scanner (netscan), чтобы определить наиболее привлекательную цель.

Еще одной особенностью Cactus является использование шифрования для защиты конкретного кода этой программы-вымогателя. Таким образом, используются две системы: архив 7Zip и пакетный скрипт, причем последний использует msiexec для деактивации защиты антивирусного программного обеспечения , что позволяет свободно действовать для кражи данных. Для этой цели Cactus использует Rclone, который позволяет переносить файлы в облако.

Согласно анализу экспертов Kroll, шифрование, используемое Cactus, является уникальным в контексте программ-вымогателей.