Seit M\u00e4rz treibt eine neue Ransomware-Bande namens Cactus sein Unwesen in der digitalen Welt. Die Cyberkriminellen haben es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. Auch hochrangige Unternehmen geraten zunehmend ins Visier und die Bande fordert bereits hohe L\u00f6segelder. Wir erkl\u00e4ren Ihnen in unserem Blogbeitrag, wie die Ransomware Cactus vorgeht und was bisher noch bekannt ist.<\/p>\n
<\/p>\n
Cyberkriminelle sind daf\u00fcr bekannt, sich immer wieder neue M\u00f6glichkeiten einfallen zu lassen, um Schadsoftware einzuschleusen und Systeme zu kompromittieren. So auch im Fall von Ransomware: Die Sicherheitsforscher von „BleepingComputer“ haben neue raffinierte Ransomware-Variante namens \u201eCactus\u201c entdeckt. Diese nutzt vor allem Schwachstellen in VPN-Anwendungen, um in fremde Netzwerke zu gelangen. Das Besondere dabei: Die Cactus-Ransomware kann sich offenbar selbst verschl\u00fcsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bek\u00e4mpfung durch g\u00e4ngige Antivirusprogramme gestaltet sich daher als schwierig.<\/p>\n
Wie Forscher von in einem Bericht „CACTUS Ransomware: Prickly New Variant Evades Detection<\/a>“ zur neuen Ransomware erkl\u00e4ren, leitet sich der Name \u201eCactus\u201c von dem angegebenen Dateinamen cAcTuS.readme.txt und dem Namen in der L\u00f6segeldforderung ab. An anderer Stelle wird allgemeiner von Malware Cactus gesprochen.<\/p>\n In der Regel werden bei Ransomware Malware verwendet, um ein anderes System zu infizieren. Nachdem Ransomware schlie\u00dflich auf das andere System geladen wurde, verschl\u00fcsselt diese den Zugang zu Dateien, Software und Programmen. Die Cyberkriminellen fordern bei dieser Art von Angriff von den Betroffenen ein L\u00f6segeld f\u00fcr die Entschl\u00fcsselung der Dateien.<\/p>\n Was Cactus, im Vergleich zu anderen Ransomware-Varianten noch gef\u00e4hrlicher macht, ist, dass die Angreifer die Verschl\u00fcsselung zum Schutz der Ransomware-Bin\u00e4rdatei einsetzen.<\/p>\n Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet. \u00dcber den VPN-Server greifen die Cyberkriminellen auf das Netzwerk zu und f\u00fchren ein Batch-Script aus, durch das die eigentliche Ransomware geladen wird. Der Schadcode wird in einer ZIP-Datei \u00fcbertragen und nach dem Download extrahiert. Mithilfe eines speziellen Schl\u00fcssels in der Befehlszeile k\u00f6nnen die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschl\u00fcsseln, dass Nutzer keinen Zugriff mehr haben.<\/p>\n Doch damit nicht genug: Vor der Verschl\u00fcsselung werden die Dateien an die Server der Angreifer \u00fcbertragen. Dadurch kann die Ransomware-Bande ein weiteres Druckmittel. Erstens kann L\u00f6segeld f\u00fcr die Entschl\u00fcsselung der Dateien auf dem kompromittierten System gefordert werden und zus\u00e4tzlich k\u00f6nnen die Cyberkriminellen damit drohen, die erbeuteten Daten zu ver\u00f6ffentlichen. Dies wird auch in der L\u00f6segeldforderung von Ransomware Cactus erw\u00e4hnt.<\/p>\n Ransomware Cactus hat vor allem gro\u00dfe Unternehmen mit einer Menge von sensiblen Daten im Visier, weil diese aufgrund der hohen Wichtigkeit der Daten eher dazu bereit sind, gr\u00f6\u00dfere L\u00f6segeldsummen zu bezahlen. Laut verschiedener Berichte sollen die Forderungen bei bisherigen Cactus-Angriffen in Millionenh\u00f6he liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den Cactus-Angriffen betroffen sind, ist noch nicht bekannt \u2013 bisher wurden noch keine sensiblen Daten ver\u00f6ffentlicht.<\/p>\n Bislang ist noch nicht bekannt, wer hinter der neuen Ransomware-Bande steckt. Die Ermittlungen laufen auf Hochtouren.<\/p>\n <\/p>\n Ransomware Cactus ist \u00e4u\u00dferst gef\u00e4hrlich, da g\u00e4ngige Virenscanner diese durch die verschl\u00fcsselten Angriffe nur schwer erkennen k\u00f6nnen. Doch es gibt Ans\u00e4tze, wie Sie sich vor Angriffen sch\u00fctzen k\u00f6nnen.<\/p>\n Dazu geh\u00f6ren:<\/strong><\/p>\n <\/p>\n Die Cyberkriminellen hinter Ransomware Cactus sind seit mindestens M\u00e4rz 2023 aktiv. Besonders gef\u00e4hrlich ist Ransomware Cactus deshalb, weil Sie sich selbst verschl\u00fcsselt und dadurch nur schwer erkannt wird. Dieser Kniff macht es m\u00f6glich, dass Ransomware Cactus herk\u00f6mmliche Antivirenscanner umgehen kann.<\/p>\n Die zentralen Angriffsvektoren sind Schwachstellen in VPN-Anwendungen. Zur Gefahrenabwehr ist besonders das Monitoring hervorzuheben. Nutzen Sie zum Schutz daher unbedingt die neuesten Software-Updates des Anbieters, \u00fcberwachen Sie Ihr Netzwerk kontinuierlich und reagieren Sie schnell bei Auff\u00e4lligkeiten.<\/p>\n <\/p>\n Ransomware bleibt eine „never ending Story“: Die neue Cactus-Variante greift so aktuell in erster Linie \u00fcber Fortinet VPN-Server an. Durch den Ansatz der \u201edoppelten Erpressung\u201c soll ein h\u00f6heres L\u00f6segeld erreicht werden und die Angriffe speziell auf das jeweilige Opfer zugeschnitten sein. Beachten Sie daher unsere Hinweise zum Schutz vor Ransomware Cactus.<\/p>\n Ben\u00f6tigen Sie Unterst\u00fctzung bei einem effektiven IT-Sicherheitskonzept? Wir haben uns auf die IT-Sicherheit von Unternehmen spezialisiert und bieten Ihnen von SSL-Zertifikaten<\/a> bis zu Website-Backup-Services<\/a> vielf\u00e4ltige L\u00f6sungen. Nehmen Sie bei Fragen einfach und unkompliziert Kontakt<\/a> zu uns auf.<\/p>\nWie funktioniert die neue Ransomware Cactus?<\/h3>\n
Zus\u00e4tzliches Gesch\u00e4ftsmodell mit Double Extortion<\/h4>\n
Verbreitung von Ransomware Cactus<\/h4>\n
Was steckt hinter Ransomware Cactus?<\/h4>\n
Wie Sie sich vor Ransomware Cactus sch\u00fctzen k\u00f6nnen<\/h2>\n
\n
Zusammenfassung zu Ransomware Cactus:<\/h2>\n
Fazit: Trickreiche Ransomware Cactus verbreitet sich schnell<\/h2>\n