Security-onderzoekers van het Amerikaanse Kroll Inc hebben een nieuw soort ransomware ontdekt. Het unieke kenmerk van de zogeheten ‘Cactus’-ransomware: het kan endpoint security omzeilen door zichzelf te versleutelen, meldt Bleeping Computer.
Cactus werd ontdekt in maart en is in veel opzichten een doodgewone variant van ransomware. Zo exploiteert het bekende kwetsbaarheden in Fortinet VPN-apparatuur om een bedrijfsnetwerk te infiltreren. Vervolgens verspreidt het zich en is het erop uit om data te stelen en er een encryptie op te leggen. Het einddoel van ransomware-criminelen is meestal het afpersen van een getroffen organisatie. In ruil voor de betaling ontvangt een organisatie de unieke sleutel om weer bij de gestolen data te komen. Hoewel er nog altijd bedrijven zijn die het losgeld betalen, is deze groep het afgelopen jaar in aantal gedaald.
Encryptie
Cactus onderscheidt zich dus door het uitbreiden van de encryptie-mogelijkheden. Daar waar gebruikelijke ransomware enkel de bestanden versleutelt, is Cactus in staat om zijn eigen binary ontoegankelijk te maken. Dit maakt het voor security-software een stuk lastiger om de software op te sporen.
Cactus maakt gebruik van een batch script om de encryptor via 7-Zip te bemachtigen, dat na de versleuteling weer verdwijnt. Een ander batch script deïnstalleert antivirus-software, zodat Cactus langer onopgemerkt blijft. Deze stappen zijn belangrijk om de “dwell time” te verlengen, ofwel de periode waarin ransomware zich in een bedrijfsnetwerk bevindt. Een langere dwell time maakt detectie waarschijnlijker, maar leidt tot een grotere verspreiding, meer encryptie en meer kopzorgen voor een organisatie.
Leak site
Een andere opvallende afwijking van Cactus is dat het vooralsnog geen ‘leak site’ heeft. Ransomware-groepen gebruiken in veel gevallen dergelijke websites om te dreigen met de publicatie van gevoelige gegevens. Zo heeft de LockBit 3.0-software veel organisaties afgeperst met deze afpersingstechniek. Aangezien Cactus pas sinds maart opereert, is het mogelijk dat een leak site nog in het verschiet ligt.
De ontwikkelingen rondom ransomware verlopen razendsnel en niet zonder reden. Security-experts zijn continu bezig met het opsporen van mogelijke kwetsbaarheden van software. Daarnaast hebben grote tech-bedrijven bug bounty-programma’s om hun services veiliger te maken. Als organisatie is het bovenal zaak om je bewust te zijn van security-gevaren. Fortinet werkt hard aan het dichten van dergelijke kwetsbaarheden in zijn VPN-producten, maar veel bedrijven leven de belangrijkste securityprincipes niet na.
2 dagen geleden
