Schnelle Verbreitung der raffinierten Ransomware Cactus sorgt für Aufsehen
Eine neue Ransomware-Bande namens Cactus verbreitet sich rasch und bereitet in der digitalen Welt Probleme. Die Angreifer haben es insbesondere auf VPN-Anwendungen abgesehen, um Zugang zu Systemen und Netzwerken zu erlangen. Die Cactus-Ransomware ist besonders trickreich, da sie sich selbst verschlüsseln kann, um von Antivirensoftware nicht erkannt zu werden.
Die Bekämpfung dieser Ransomware gestaltet sich daher schwierig. Die Angriffe richten sich derzeit speziell gegen Fortinet VPN-Server.
Der Name „Cactus“ stammt vom angegebenen Dateinamen „cAcTuS.readme.txt“ und dem Namen in der Lösegeldforderung. Die Identität der Ransomware-Bande ist bisher unbekannt, doch die Ermittlungen sind im Gange.
Was Cactus besonders gefährlich macht, ist, dass die Angreifer die Verschlüsselung nutzen, um die Ransomware-Binärdatei zu schützen. Sie konzentrieren sich dabei auf Schwachstellen in bekannten Fortinet VPN-Servern. Die Cyberkriminellen greifen über den VPN-Server auf das Netzwerk zu und führen ein Batch-Script aus, um die eigentliche Ransomware zu laden. Der schädliche Code wird in einer ZIP-Datei übertragen und nach dem Download extrahiert. Mit einem speziellen Schlüssel in der Befehlszeile starten die Angreifer die Anwendung und verschlüsseln die Dateien auf dem betroffenen System, wodurch die Nutzer keinen Zugriff mehr haben.
Doch das ist noch nicht alles, wie Patrycja Schrenk, Geschäftsführerin der PSW GROUP, erklärt. Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch erhalten sie ein weiteres Druckmittel: Sie können Lösegeld für die Entschlüsselung der Dateien fordern und mit der Veröffentlichung der erbeuteten Daten drohen.
Cactus zielt vor allem auf große Unternehmen mit sensiblen Daten ab. Berichten zufolge liegen die Forderungen bei bisherigen Cactus-Angriffen im Millionenbereich, und die Angriffe werden speziell auf die jeweiligen Opfer zugeschnitten. Bisher ist nicht bekannt, welche Unternehmen von den Cactus-Angriffen betroffen sind, und es wurden noch keine sensiblen Daten veröffentlicht.
Da gängige Virenscanner diese Ransomware aufgrund der verschlüsselten Angriffe nur schwer erkennen können, ist Cactus äußerst gefährlich, warnt Schrenk. Es ist daher umso wichtiger, sich mit präventiven Maßnahmen vor Angriffen zu schützen. Dazu gehören das Aktualisieren von Anwendungen und öffentlich zugänglichen Systemen sowie das zeitnahe Einspielen von Patches. Es wird empfohlen, das Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere PowerShell, zu überwachen und schnell zu reagieren, einen Passwort-Manager zu verwenden und die Zwei-Faktor-Authentifizierung als Standard zu implementieren. Darüber hinaus ist es ratsam, Administrator- und Dienstkonten regelmäßig zu überprüfen und regelmäßige Backups zu erstellen.
![Patrycja Schrenk](https://www.itsicherheit-online.com/app/uploads/resized/2023/06/patrycja_tulinska-200x0-c-center.jpg)
Patrycja Schrenk, Geschäftsführerin der PSW GROUP