Ransomware Cactus: el peligro que acecha a las empresas
Los investigadores de ciberseguridad han descubierto una nueva cepa de ransomware llamada Cactus, que aprovecha vulnerabilidades en dispositivos VPN para infiltrarse en redes específicas. Las entidades comerciales más grandes han sido el blanco principal desde marzo de 2023, con ataques que emplean tácticas de doble extorsión para robar datos confidenciales antes de cifrarlos.
Métodos de ataque de Cactus
Una vez dentro de la red, los actores de Cactus intentan enumerar cuentas de usuarios locales y de red, además de identificar puntos finales accesibles. Posteriormente, crean nuevas cuentas de usuario y utilizan scripts personalizados para automatizar la implementación y detonación del cifrador de ransomware a través de tareas programadas.
Herramientas utilizadas por los atacantes
Los ataques de Cactus también utilizan Cobalt Strike y una herramienta de túneles conocida como Chisel para comando y control, junto con software de monitoreo y administración remota (RMM) como Anydesk para empujar archivos a los hosts infectados. Además, deshabilitan y desinstalan soluciones de seguridad, así como extraen credenciales de navegadores web y del Servicio del Subsistema de la Autoridad de Seguridad local (LSASS) para aumentar los privilegios.
Estrategia de evasión y cifrado
Un aspecto novedoso de Cactus es el uso de un script por lotes para extraer el binario de ransomware con 7-ZIP, seguido de eliminar el archivo .7Z antes de ejecutar la carga útil. Esta táctica dificulta su detección y ayuda a evadir herramientas antivirus y de monitoreo de redes.
Recomendaciones de seguridad
Es crucial que las empresas tomen medidas para mantener los sistemas actualizados y hacer cumplir el principio de menor privilegio (POLP) para evitar caer víctimas de ransomware como Cactus. La prevención es la mejor defensa contra estas amenazas.
