Gare aux épines avec le nouveau ransomware Cactus
Le ransomware Cactus chiffre son code et ses actions pour se rendre invisible aux yeux des outils de cybersécurité.
D’après Bleeping Computer, le rançongiciel Cactus est utilisé activement depuis mars 2023 par des opérateurs de ransomwares pour contourner les protections antivirus et accéder aux réseaux informatiques ciblés en exploitant les vulnérabilités de Fortinet VPN.
Contrairement aux méthodes d’attaque habituelles, Cactus a recours à une approche personnalisée pour éviter la détection. Kroll, une entreprise spécialisée dans les enquêtes d’entreprise et le conseil en matière de risques, a signalé que les pirates exploitent une vulnérabilité connue des appareils VPN Fortinet pour accéder aux réseaux internes des entreprises.
La principale particularité du rançongiciel Cactus est l’utilisation d’un cryptage pour protéger son fichier binaire, ce qui est rare pour ce type de logiciel malveillant. Les attaquants utilisent un script batch pour extraire le binaire du ransomware à l’aide de l’archiveur 7-Zip, puis le déploient avec un drapeau spécifique pour l’exécuter. Cette méthode inhabituelle semble être utilisée pour s’assurer que le ransomware ne peut pas être détecté par les outils antivirus.
Selon Lori Yacono, directrice générale adjointe de la cybersécurité chez Kroll, le rançongiciel Cactus se crypte lui-même, ce qui le rend très difficile à détecter dans les réseaux ciblés. Cette approche permet aux attaquants de contourner les protections antivirus et les outils modernes de surveillance du réseau. Michael Gillespie, un expert en ransomware, a analysé la façon dont Cactus crypte les données et a constaté que le logiciel malveillant utilise plusieurs extensions de fichiers pour les fichiers cibles en fonction de leur état de traitement. Par exemple, lorsqu’un fichier est préparé pour le cryptage, Cactus change son extension en .CTS0, et après le cryptage, l’extension devient .CTS1.
ZATAZ a repéré plusieurs autres groupes de rançonnage en ce mois de mai, en plus de Cactus, nous pouvons rajouter BlackSuit ou encore le groupe Ra.