Beveiligingsonderzoekers van Kroll hebben een nieuw type ransomware met een twist ontdekt. Terwijl de hackers achter het zogenaamde Cactus zich richten op het versleutelen en stelen van bestanden van gebruikelijke doelwitten (grote bedrijven), heeft Kroll vastgesteld dat de malware een unieke eigenschap vertoont.
De ransomware zou sinds maart actief zijn. Volgens Bleeping Computer vragen de hackers "miljoenen aan losgeld".
Zo gebruikt Cactus verschillende trucjes om beveiligingsmaatregelingen te omzeilen. De hackers benaderen het systeem door gekende kwetsbaarheden in Fortinet-vpn’s te misbruiken. Vervolgens wordt een batch-script ingezet om de ransomware te downloaden, die in een zip-bestand is geplaatst. Om de malafide software op te starten is een unieke AES-sleutel vereist, die het configuratiebestand en de RSA-key decodeert om de bestanden van het slachtoffer te versleutelen. Tijdens het downloaden bevindt Cactus zich dus in een versleutelde vorm, waardoor deze niet kan worden ontdekt door antivirussoftware.
Kroll heeft de werking van Cactus in enkele diagrammen gegoten.
Momenteel zijn er weinig details over de ransomware-groep achter Cactus, slachtoffers van dergelijke aanvallen en of er daadwerkelijk een decryptor wordt verschaft indien het losgeld wordt betaald. Men gaat in ieder geval voor de aanpak van dubbele afpersing, waarbij de gegevens eerst worden gestolen vooraleer ze worden versleuteld.
Bron: Bleeping Computer
