Ransomware Cactus mira ataques a varejistas e setor financeiro, aponta pesquisa

Novo boletim publicado pela ISH com mais informações sobre o grupo indica que o grupo cibercriminosos é conhecido por utilizar malwares e ataques a VPNs para atingir empresas de todo o mundo

Compartilhar:

A ISH Tecnologia divulgou detalhes sobre a operação do ransomware Cactus. A companhia elaborou um relatório de pesquisas, que contém informações sobre o modo de execução e os principais alvos do grupo criminoso.

 

Segundo a empresa, o malware disparado pelo grupo é capaz de se infiltrar em sistemas de organizações, criptografar dados sensíveis e exigir resgates de valores muito altos. Apesar de seu recente surgimento, esse software malicioso tem se disseminado de forma veloz e eficaz, e tem mirado também redes corporativas e sistemas de TI.

 

Além disso, a perícia da ISH revela que o Brasil é um dos países na mira do grupo, assim como Estados Unidos, Canadá, Austrália e diversos países da Europa. Os setores de finanças, varejo, seguros, transporte, manufatura e serviços são os mais afetados até o momento.

 

O boletim revela que a execução do malware em ocorre a partir das seguintes fases:

 

Acesso inicial: Para começar sua execução, o ransomware Cactus explora vulnerabilidades em aparelhos VPNs. Na sequência, há a criação de um backdoor SSH, que busca agilizar o acesso para o ator e consegue invadir os sistemas da organização.

 

Durante essas invasões os agentes maliciosos examinam vulnerabilidades, que podem facilitar a execução de tarefas mal-intencionadas, previamente agendadas;

 

Descoberta: Já instalada na rede da organização, o malware inicia um procedimento de varredura, descoberta e identificação de demais dispositivos. Nessa ação, o software utilizado é conhecido como “SoftPerfect Network Scanner (netscan)”.

 

Persistência: Com o objetivo de se estabelecer na rede das organizações e criar diversos pontos de acesso remoto, o ator de ameaça utiliza ferramentas como Splashtop, AnyDesk, SuperOps RMM, Cobalt Strike e Chisel.

 

Execução: o grupo, focado na extração de dados, também tem o objetivo de realizar extorsões direcionadas às suas vítimas. Para acessar as informações confidenciais, o agente malicioso utiliza a ferramenta digital Rclone para automatizar esse processo de rouba de materiais.

 

Após a coleta de dados, há a utilização de uma sequência de scripts (TotalExec.ps1 e o f2.bat) para criar uma conta de administrador e reiniciar o dispositivo ao serem executados. Esse processo é feito para que haja a criação e execução de um arquivo para executar a tarefa de comando C:\ProgramData\.exe -r.

 

Em dezembro de 2023, a Microsoft descobriu que um agente malicioso, conhecido como STORM-0216, realizou práticas mal-intencionadas com o ransomware Cactus. O malware, em questão, foi utilizado para criptografar códigos e informações confidenciais, e enviar esses dados para um C2 (servidor de comando e controle).

Pesquisadores da Artic Wolf também afirmaram que o grupo de ransomwares explora vulnerabilidades como: CVE-2023-41265, CVE-2023-41266, CVE-2023-48365.

 

Por fim, a ISH elenca algumas dicas e recomendações para que ataques de malwares como esse sejam evitados: Backup regular de dados e informações confidenciais; Revisão constante das contas de usuários de administrador e de serviço; Implementação de soluções para proteção de endpoints; e Educar os colaboradores sobre as melhores práticas de segurança cibernética.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...