Entendiendo el Ransomware Cactus

En el vasto desierto de las amenazas cibernéticas, ha surgido una nueva entidad, equipada con espinas afiladas para perforar tanto a organizaciones como a individuos. Se le conoce como el Grupo Cactus Ransomware, un nombre que ha comenzado a circular en el mundo de la ciberseguridad con creciente interés. Este grupo se ha alzado de las sombras, sembrando caos y desorden a su paso. 

Al igual que su homónimo en la naturaleza, el Cactus Ransomware no permanece pasivo; representa una amenaza latente, esperando el momento adecuado para atacar. Mediante una técnica de cifrado única que oculta el código binario del ransomware, Cactus garantiza que sus intenciones maliciosas pasen desapercibidas para los sistemas antivirus, permitiéndole propagarse y fortificarse en el sistema comprometido.

¿Quién es el Cactus Ransomware?

El Grupo Cactus Ransomware, identificado por primera vez en marzo de 2023, se ha expandido rápidamente en el ámbito digital, aprovechando vulnerabilidades, especialmente en las redes privadas virtuales (VPN), para obtener acceso no autorizado y establecer un punto de apoyo en las infraestructuras comprometidas. Este grupo ha demostrado un conocimiento avanzado de las técnicas de evasión, utilizando un enfoque dinámico para el cifrado y empleando una variedad de herramientas y técnicas para asegurar la entrega efectiva y encubierta de su carga maliciosa.

Cactus no se limita únicamente al cifrado. El actor de la amenaza se asegura de que su presencia esté profundamente enraizada en los sistemas comprometidos, empleando una cadena de infección compleja y múltiples capas de ocultación para encubrir sus actividades. Desde el uso de herramientas como el empaquetado UPX y la explotación de algoritmos de cifrado como OpenSSL, AES OCB y ChaCha20_Poly1305, hasta la ejecución de reinicios y la búsqueda de recursos compartidos de red, Cactus demuestra un enfoque multifacético en sus ataques, garantizando que sus acciones no solo tengan éxito, sino que también permanezcan envueltas en secreto.

Podría interesarte leer:  Detección de Ataques de Ransomware con Wazuh

¿Cómo lleva a cabo sus ataques el Grupo Cactus Ransomware?

Este grupo ha demostrado una capacidad impresionante para atacar de manera sigilosa, asegurándose de que sus acciones maliciosas permanezcan ocultas bajo una capa de sofisticación y complejidad. A continuación, se detallan las etapas que sigue el ransomware Cactus cuando está en acción:

1. Acceso inicial: El Cactus Ransomware aprovecha vulnerabilidades en dispositivos VPN, creando un camino secreto hacia la infraestructura del objetivo. Esta fase se inicia mediante la explotación de las vulnerabilidades de VPN, seguida por la creación de una puerta trasera SSH. Esto no solo facilita el acceso no autorizado, sino que también garantiza una presencia persistente dentro de la red comprometida.

2. Cadena de infección: La cadena de infección de Cactus es un recorrido complejo a través de múltiples capas de ofuscación y evasión. Utiliza un script por lotes para ejecutar la muestra de ransomware mediante 7-Zip, lo que resulta en el cifrado del propio Cactus, eludiendo así los mecanismos de detección y anidándose profundamente en el sistema. Esta cadena de ataque es multifacética e implica varios pasos, como la explotación de vulnerabilidades de VPN, el uso de herramientas de acceso remoto como Splashtop o AnyDesk, la gestión de operaciones con el software SuperOps RMM, la simulación de ataques con Cobalt Strike, el establecimiento de canales de comunicación cifrados con Chisel y la exfiltración de credenciales.

3. Fase de cifrado: Una vez que se ha infiltrado, el Cactus Ransomware procede con el cifrado. Utiliza algoritmos de cifrado AES-256-GCM y RSA-4096 para garantizar un cifrado seguro de los archivos de la víctima, aumentando el impacto del ataque. Luego, se publica una nota de rescate llamada "cAcTuS.readme.txt", generando pánico y urgencia en la víctima.

4. Exfiltración y filtración de datos: Cactus no se limita al cifrado. El actor de amenazas asegura que sus efectos se propaguen al amenazar con publicar los datos de la víctima en su portal de filtración de datos si no se paga el rescate, conocido como el método de doble extorsión. Este portal de filtración de datos, ubicado en la web oscura, se convierte en una amenaza adicional para las víctimas, lo que garantiza que las consecuencias del ataque vayan más allá del cifrado, afectando la integridad de los datos y la reputación.

5. Persistencia: El Cactus Ransomware garantiza su presencia duradera en el sistema comprometido mediante la creación de una tarea programada llamada "Tarea de verificación de actualizaciones", que se ejecuta cada 5 minutos, permitiendo que el ransomware continúe sus actividades maliciosas sin interrupción.

Te podrá interesar:  Evita el Pago de Ransomware: Riesgos del Rescate

Sitio TOR de Cactus Ransomware

Cuando se accede al sitio TOR de Cactus Ransomware, se muestra una página principal que enumera las acciones de las víctimas. En la parte superior, se encuentra un cuadro de búsqueda y botones que redirigen a las secciones "Inicio" y "Contacto".

Al hacer clic en cualquier víctima en la página principal, se abre una página de detalles que incluye información sobre la víctima de Cactus, un enlace para descargar los datos filtrados por Cactus e imágenes de evidencia.

Últimas actividades de Cactus Ransomware

El grupo Hurley:

RICOR Global Limitado:  

También te podrá interesar:  Ransomware CACTUS Ataca a través de Fallos en Qlik Sense

Recomendaciones de seguridad contra el Cactus Ransomware

Navegar por el peligroso desierto forjado por el Grupo Cactus Ransomware requiere no solo comprender sus caminos espinosos, sino también el fortalecimiento de defensas sólidas para protegerse de sus espinas venenosas. Mientras avanzamos con cautela por terrenos peligrosos, exploremos varias recomendaciones de seguridad para protegerse contra las amenazas multifacéticas que plantea el Cactus Ransomware:

1. Utiliza parches y actualizaciones para protegerte contra las vulnerabilidades. Asegúrate de que todos tus softwares y dispositivos VPN estén actualizados para prevenir las vulnerabilidades explotadas por el Cactus Ransomware.
   
   
2. Realiza actualizaciones periódicas para mantener actualizados regularmente todos tus software, sistemas y aplicaciones, fortaleciendo así tus defensas contra posibles ataques.
   
   
3. Mejora la detección utilizando soluciones antivirus y EDR/EPP sólidas para detectar y mitigar amenazas relacionadas con ransomware, como archivos binarios que se cifran por sí mismos.
   
   
4. Emplea herramientas de análisis de comportamiento, como EDR y EPP, para detectar actividades anómalas que puedan indicar un ataque de ransomware.
   
   
5. Protege tus datos salvaguardando tus datos mediante copias de seguridad regulares y utilizando cifrado de datos para proteger tu información confidencial.
   
   
6. Brinda capacitación a los usuarios para que estén alerta ante correos electrónicos de phishing, ya que el Cactus Ransomware suele utilizarlos como punto de acceso inicial.

Podría interesarte leer:  Concientización: Esencial en la Ciberseguridad de tu Empresa

En conclusión, el Grupo Cactus Ransomware representa una amenaza significativa en el entorno cibernético. Han demostrado ser un adversario cibernético importante al utilizar técnicas avanzadas de cifrado, estrategias de evasión y diversos métodos de ataque. Han tenido éxito en varios sectores a nivel mundial, mostrando su capacidad para penetrar y permanecer dentro de los sistemas, causando caos y disrupción.

Las víctimas enfrentan desafíos relacionados con el cifrado y la posible divulgación pública de sus datos en el portal de filtración de Cactus, lo que pone en riesgo la integridad de los datos, la confidencialidad y la reputación de la organización. Es esencial comprender las tácticas del Cactus Ransomware para combatir esta amenaza y estar preparados con el conocimiento y las herramientas necesarias para protegerse.