Cactus-ransomware versleutelt zichzelf om onder de radar te blijven

cactus ransomware

Een nieuwe ransomware met de naam Cactus doet de ronde. Deze ransomware heeft een speciale truc om aan het oog van je antivirusscanner te blijven: het versleutelt ook zichzelf.

De eerste gekende aanvallen met de Cactus-ransomware dateren van maart. De ransomware buit kwetsbaarheden in VPN-diensten uit, met een voorkeur voor Fortinet, om toegang te krijgen tot een netwerk, waarna het virus op zoek gaat naar bestanden en databases om te versleutelen. Slachtoffers van Cactus lijken op dit moment voornamelijk grote commerciële entiteiten.

lees ook

Beveiligingstip: een VPN lost niet alle problemen op

Voorlopig klinkt dit als de doorsnee ransomware, maar Cactus beschikt over enkele trucs die beveiligingsexperten in de ogen doen wrijven van ongeloof. De ransomware blijkt nagenoeg onzichtbaar te zijn voor antivirusscanners en andere preventiemiddelen. Cactus versleutelt namelijk niet alleen data van het slachtoffer, maar ook zijn eigen bestanden.

Op slot

De actor gebruikt een batchschript om de encryptor aan te maken via 7-ZIP, dat nadien opnieuw verwijderd wordt. Met die encyrptor zit de binary van het ransomwarebestand achter slot en grendel en wordt nagenoeg onmogelijk voor de antivirusscanner om de inhoud te lezen en dus geraakt Cactus moeiteloos voorbij de eerste verdedingslinie.

Vervolgens moet Cactus zich kunnen ontgrendelen om schade aan te richten. De aanvallers verstoppen een unieke AES-sleutel in de binary die enkel zij kennen. Hiermee ontsnapt de malware uit zijn kooi en kan het zich vervolgens gaan verspreiden over het netwerk van het slachtoffer om diens bestanden te versleutelen. Ook hier gebruikt Cactus een bijzondere techniek voor: de malware wijzigt de extensies van de bestanden om ze vast te zetten. Voor aanvallers met weinig tijd beschikt Cactus ook over een ‘snelle modus’ die een extra extensie toevoegt aan een bestand om het tweemaal te versleutelen.

Het is nog niet geweten hoe wijdverspreid de Cactus-ransomware is, maar het bewijst nog maar eens dat cybercriminelen inventief zijn en hun methodes blijven verfijnen. Het blijft dan ook van belang om de basisregels van cybersecurity te respecteren. Accounts beveiligen met MFA en patches voor kwetsbaarheden zo snel mogelijk installeren, zijn enkele gewoontes die ieder bedrijf zich eigen moet maken.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home