کاکتوس (Cactus) یک گروه باجافزار به عنوان سرویس (RaaS) است که دادههای قربانی را رمزگذاری کرده و برای ارائه کلید رمزگشایی درخواست باج میکند.
از زمان کشف این باجافزار در مارس ۲۰۲۳، صدها سازمان هدف حمله Cactus قرار گرفتهاند و دادههای سرقتشده آنها به عنوان اهرم فشار در دارک وب منتشر شده است.
تفاوت Cactus با سایر باجافزارها چیست؟
Cactus با سوءاستفاده از آسیبپذیریهای تجهیزات VPN به شبکههای سازمانی نفوذ کرده و کد خود را رمزگذاری میکند تا از شناسایی توسط آنتیویروسها جلوگیری کند.
تحقیقات اخیر نشان میدهد که این گروه ممکن است با گروه باجافزار Black Basta مرتبط باشد. هر دو گروه از ماژول BackConnect استفاده میکنند که به هکرها اجازه میدهد کنترل دائمی روی سیستمهای آلوده داشته باشند.
مهاجمان باجافزار کاکتوس از BackConnect برای سرقت اطلاعات حساس مانند اعتبارنامههای ورود، دادههای مالی و اطلاعات شخصی استفاده میکنند. همچنین هر دو گروه از حملات مهندسی اجتماعی مانند بمباران ایمیل برای فریب کارکنان و دسترسی از راه دور به سیستمها بهره میبرند.
نشانههای آلوده شدن به باجافزار کاکتوس چیست؟
هنگامی که Cactus وارد سیستم شود:
- آنتیویروس را غیرفعال میکند.
- فایلها و اطلاعات حساس را پیش از رمزگذاری سرقت میکند.
- یادداشت باجگیری با نام “cAcTuS.readme.txt” را روی سیستم قربانی قرار میدهد.
- فایلهای رمزگذاریشده با پسوندهای .cts1 یا .cts7 ذخیره میشوند.
قربانیان معروف باجافزار Cactus
از قربانیان معروف این باجافزار میتوان به شرکت Schneider Electric و سازمان مسکن شهر لسآنجلس (HACLA) اشاره کرد.
چگونه از سازمان خود در برابر باجافزار Cactus محافظت کنیم؟
برای محافظت از سازمان خود، اقدامات زیر توصیه میشود:
- تهیه نسخه پشتیبان ایمن و خارج از شبکه.
- بهروزرسانی مداوم نرمافزارها و وصلههای امنیتی.
- استفاده از پسوردهای قوی و فعالسازی احراز هویت چندمرحلهای.
- رمزگذاری اطلاعات حساس.
- محدود کردن سطح حمله با غیرفعال کردن قابلیتها و اپلیکیشنهای غیرضروری.
- آموزش کارکنان درباره روشهای حمله و فریب سایبری
منبع: https://www.tripwire.com/state-of-security/cactus-ransomware-what-you-need-know
