Cactus ransomware mélyelemzés
A SecurityScorecard fehér könyvet adott ki a Cactus ransomware-ről, amit 2023 márciusában fedezték fel. A malware létrehoz egy b4kr-xr7h-qcps-omu3cAcTuS nevű mutexet, hogy biztosítsa, hogy egyszerre csak egy példány fusson. Többnyire a VPN-eszközök sérülékenységeit használja ki, és nagy kifizetéseket vár áldozataitól. Kutatók úgy vélik, hogy a Cactus a Fortinet VPN-eszközök ismert sebezhetőségeinek kihasználásával szerez kezdeti hozzáférést az áldozati hálózathoz.
A folyamatos jelenlétet egy frissítések ellenőrzési feladat nevű ütemezett feladat létrehozásával éri el. A Cactus lényegében saját magát titkosítja, így megnehezíti az észlelést, és segít kikerülni a víruskereső és a hálózatfigyelő eszközöket. A ransomware-nek AES-kulcsra van szüksége a binárisban tárolt titkosított nyilvános RSA-kulcs visszafejtéséhez.
A fájlok titkosítása AES-algoritmus (OpenSSL-könyvtár) használatával történik, a kulcsot pedig a nyilvános RSA-kulcs titkosítja. A titkosított fájlok kiterjesztése „cts0” vagy „cts1” lesz.