Cactus-ransomware maakt zichzelf onzichtbaar voor antivirusprogramma’s
De Cactus-ransomware slaagt erin zich te verbergen voor antivirusprogramma's door niet alleen het systeem, maar ook zichzelf te versleutelen.
We verwachten van antivirusprogramma’s dat ze onze pc schoon houden en virussen weghouden. In sommige gevallen slaagt een virus er echter in zichzelf zo goed te maskeren dat zelfs de beste antivirussystemen de indringer niet kunnen opsporen. Dat is het geval met de nieuwe Cactus-ransomware, die zichzelf onzichtbaar kan maken voor eender welk detectieprogramma.
Daardoor kunnen gebruikers de Cactus ransomware, die door cybersecurity-onderzoekers van Kroll werd ontdekt, op hun systeem hebben staan zonder dat ze het zelf weten. De onderzoekers konden drie manieren onderscheiden waarop de malware te werk gaat. In eerste instantie geraakt de ransomware binnen langs kwetsbaarheden in de VPN-oplossing van Fortinet.
Versleutelt zichzelf
Een eigenaardigheid aan Cactus, is dat de software in staat is om zichzelf te versleutelen. Dat doet het aan de hand van een batchbestand, waarmee het via 7-Zip een encryptor kan oproepen. Dat maakt het moeilijk voor bestaande antivirusprogramma’s om de ransomware op te sporen. De ransomware kan ontgrendeld worden met een specifieke AES-key, die in principe alleen door de hackers gekend is. Eenmaal dit gebeurt, verzamelt Cactus bestanden op het systeem om ze te versleutelen.
Eenmaal de ransomware in een systeem is binnengeraakt, verspreidt hij zich over het netwerk. Dit gebeurt aan de hand van een SSH-achterdeur. Met allerlei PowerShell-commando’s verkent de ransomware het netwerk om daarna de controle van meerdere systemen over te nemen. Dat doet Cactus met bestaande remote access-oplossingen zoals AnyDesk en Splashtop. Eenmaal binnengedrongen deactiveert en verwijdert Cactus alle geïnstalleerde antivirusoplossingen.
Hoge bedragen
Daarna versleutelt de ransomware niet alleen gegevens, maar laadt hij ze bovendien op naar de cloud. Op die manier kan niet alleen losgeld gevraagd worden voor het ontgrendelen van de data, maar ook voor het niet-verspreiden van de gestolen gegevens. Hoe hoog dat losgeld oploopt is door niemand precies geweten. BleepingComputer verneemt echter van een bron dat de prijzen oplopen tot in de meerdere miljoenen.
De onderzoekers van Kroll stippen aan dat Cactus een vrij uniek ransomwareprogramma is. Niet alleen is het feit dat Cactus zichzelf maskeert met encryptie uniek. Ook de manier waarop data verzameld en vergrendeld worden, lijkt uniek. Een andere ransomwaregroep, BlackBasta genaamd, zou wel gebruik maken van dezelfde tactieken. De kans bestaat dus dat er in de toekomst meer van dit type aanvallen, waarbij de ransomware zichzelf verbergt, voorkomen.