CACTUSランサムウェア

CACTUS ランサムウェアはどのように機能しますか?

CACTUS ランサムウェアは通常、仮想プライベート ネットワーク (VPN) ソフトウェアの脆弱性を悪用して、ターゲット環境にアクセスします。 システムにアクセスした後、マルウェアは SSH 経由でオペレーターとのコマンド アンド コントロール (C2) 通信を確立します。 また、感染したシステム上のスケジュールされたタスクを利用して、再起動後も永続性を維持します。

マルウェアは、ターゲット ネットワーク上に足跡を残し、ネットワーク スキャンを使用して、ネットワーク上の感染の潜在的なターゲットを特定します。 次に、さまざまな方法を使用して、Webブラウザーからユーザー資格情報を収集し、LSASSからダンプするなど、ユーザーの資格情報を盗みます。 これらの侵害された資格情報は、攻撃を実行するために必要なレベルのアクセスを取得するために使用されます。 これには、マルウェアがネットワークを通じて拡散するために使用できるリモート デバイス上のアカウントの追加やアクセスが含まれます。

デバイスに侵入すると、マルウェアは msiexec を使用して一般的なウイルス対策ソフトウェアをアンインストールします。 このマルウェアには、AES キーを使用して解凍する必要がある暗号化形式でマルウェアを配布するなど、検出から保護するために設計されたさまざまな手法も組み込まれています。 この手法は、研究者やサンドボックスがマルウェアのコピーと一緒に適切な復号化キーを収集していないか、悪意のある機能をトリガーするために必要な構成パラメータを認識していない可能性があるため、マルウェアの分析から保護するために設計されている可能性があります。

CACTUS は二重恐喝型ランサムウェアの亜種の一例です。 このマルウェアは、RSA と AES の組み合わせでデータを暗号化するだけでなく、データを盗み出すことも試みます。 この目的には、盗んだファイルをクラウド ストレージに移動する Rclone が使用されることが確認されています。 暗号化と抽出が完了すると、マルウェアはユーザーのコンピューターに身代金要求のメモを投稿します。

CACTUS ランサムウェアから身を守る方法

CACTUS は、さまざまな回避技術を使用してレーダーを回避しながら企業ネットワークを攻撃するように設計されたランサムウェアの亜種の一例です。 この脅威から保護するために組織が実装できるセキュリティのベストプラクティスには、次のようなものがあります。

• パッチ管理: CACTUS ランサムウェアは主に、パッチが適用されていない VPN システムの既知の脆弱性を悪用してシステムに感染します。 アップデートやパッチが利用可能になったらすぐに適用することで、マルウェアがこのアクセスベクトルを使用することを防ぐことができます。
• 強力な認証:このランサムウェアは、目的を遂行するために必要なアクセスと権限を取得するために、ブラウザや LSASS から資格情報を盗み出そうとすることがよくあります。 ユーザー アカウントに多要素認証 (MFA)を実装すると、CACTUS が感染したコンピューターから盗んだパスワードを使用することを防ぐことができます。
• 従業員教育: カクタスは、感染したコンピュータにさまざまなソースからのパスワードをダンプすることで、パスワードの再利用を悪用しようとします。 アカウントセキュリティのベストプラクティスについて従業員をトレーニングすることで、この脅威を軽減または排除することができます。
• ネットワーク セグメンテーション: CACTUS は、感染したコンピューターから作成したアカウントまたは侵害したアカウントを使用して、ネットワークを横方向に移動しようとします。 ネットワーク セグメンテーションにより、価値の高いシステムがネットワークの残りの部分から分離され、攻撃者がアクセスしにくくなります。
• ネットワーク セキュリティ:このランサムウェアは、ネットワーク スキャンとリモート アクセス ツールを使用してネットワーク内を移動します。 ネットワーク監視およびセキュリティ ソリューションは、このような横方向の移動の試みを識別してブロックできます。
• ランサムウェア対策ソリューション: CACTUS は機密ファイルを暗号化し、クラウド ストレージ経由で流出させようとします。 ランサムウェア対策ソリューションは、この悪意のある動作を識別し、マルウェア感染を根絶することができます。