Ransomware-ul Cactus: o privire de ansamblu
Operațiunea ransomware Cactus este activă cel puțin din martie și vizează obținerea unor plăți substanțiale de la victimele sale. Asemenea altor atacuri de ransomware, Cactus utilizează metode clasice, cum ar fi criptarea fișierelor și furtul de date, dar adaugă propriile sale tactici pentru a evita detecția. Acest nou tip de ransomware are ca țintă entități comerciale mari care utilizează servicii de acces la distanță și identifică vulnerabilități neparchetate pentru a obține accesul inițial. Potrivit notelor de răscumpărare, Cactus intenționează să dezvăluie datele furate, cu excepția cazului în care victimele iau legătura cu atacatorii.
Cum se diferențiază ransomware-ul Cactus?
Cactus utilizează tactici de "extorsiune dublă", asemănătoare altor atacuri de ransomware, pentru a fura date sensibile înainte de criptare. Cu toate acestea, până în prezent, nu pare să utilizeze un site pentru scurgeri de date, ceea ce este un aspect distinctiv al acestui atac. În plus, Cactus folosește criptarea fișierelor pentru a evita detecția antivirusurilor. Pentru aceasta, atacatorul utilizează un script pentru a obține executabilul criptor, folosind, de asemenea, faimoasa unealtă de comprimare 7-Zip.
După extragerea executabilului, atacatorul șterge arhiva ZIP inițială, făcând ca detectarea amenințării să fie mai dificilă. Când pregătește un fișier pentru criptare, Cactus îi modifică extensia în ".CTS0". După reușita procesului de criptare, extensia este schimbată în ".CTS1."
Cum să vă protejați VPN-ul împotriva ransomware-ului Cactus
Pentru a preveni sau minimiza impactul ransomware-ului Cactus, Cisco va lansa o actualizare de securitate pentru a remedia vulnerabilitatea cunoscută sub numele de CVE-2023-20269. Totodată, administratorii de sisteme sunt sfătuiți să urmeze următoarele măsuri:
Asigurați-vă că toate profilurile de acces VPN non-implicite sunt redirecționate către un server special de securitate (denumit "sinkhole") și activați înregistrarea pentru a detecta orice tentativă de atac în fazele inițiale ale acestuia.
Blocați anumiți utilizatori să se conecteze la mai multe profiluri VPN simultan folosind opțiunea 'group-lock'. Preveniți setările multiple de VPN pentru acești utilizatori prin stabilirea numărului maxim de conexiuni simultane la zero.
Nu în ultimul rând, este important de menționat că autentificarea multi-factor (MFA) poate reduce riscul, deoarece chiar și în cazul forțării cu succes a credențelor de cont, atacatorii nu vor putea să preia conturi protejate cu MFA și să stabilească conexiuni VPN cu ele.
Cisco recomandă, de asemenea, ca imediat ce actualizările de securitate vor fi disponibile, să vă asigurați că software-ul VPN și echipamentele asociate sunt actualizate la ultimele versiuni. Instalați toate patch-urile și actualizările de securitate pentru a remedia vulnerabilitățile cunoscute.
Mai jos regăsiți o serie de pași pe care îi puteți urma pentru a aplica patch-urile de VPN și a vă asigura că acestea sunt instalate corect:
- Accesați consola de administrare a VPN-ului și verificați versiunea curentă a software-ului pe care îl utilizați;
- Accesați site-ul oficial al furnizorului dvs. VPN sau portalul de suport;
- Căutați secțiunea de actualizări, patch-uri sau descărcări de securitate;
- Identificați patch-ul corespunzător versiunii software-ului dvs. VPN și descărcați-l pe computerul dvs.;
- Planificați instalarea patch-ului într-un moment în care poate fi efectuată o scurtă întrerupere a serviciului VPN, pentru a minimiza impactul asupra utilizatorilor;
- Deschideți fișierul de patch descărcat. Dacă este un executabil (.exe), faceți dublu clic pe el pentru a începe procesul de instalare;
- Urmăriți asistentul de instalare și citiți cu atenție toate mesajele și opțiunile disponibile;
- Acceptați acordurile de licență și orice alte prompt-uri pentru a începe instalarea;
- Așteptați ca instalarea să se finalizeze. În timpul acestui proces, este posibil să fie necesar să reporniți sistemul sau să reporniți serviciul VPN, așa că asigurați-vă că toate aceste etape sunt completate corespunzător;
- După instalare, verificați versiunea software-ului VPN pentru a vă asigura că a fost actualizată cu succes;
- Testați conexiunea VPN pentru a vă asigura că totul funcționează corespunzător. Verificați dacă puteți accesa resursele de rețea și dacă nu apar erori în timpul conexiunii;
- Continuați să urmăriți actualizările și patch-urile ulterioare oferite de furnizorul dvs. VPN și asigurați-vă că le aplicați regulat pentru a menține securitatea sistemului.
Asigurați-vă întotdeauna că descărcați patch-urile de pe site-ul oficial al furnizorului și că urmați procedurile de instalare recomandate pentru a evita problemele și a asigura integritatea și securitatea sistemului dvs. VPN.