Die Begegnung mit einem Kaktus kann schmerzhaft sein. Ähnlich sieht es aus, wenn Sie mit der Ransomware Cactus in Kontakt kommen. Vor allem tut sie aber im Portemonnaie weh.
Das Ziel von Cactus ist es, Lösegeld zu erpressen. Wie die Schadsoftware vorgeht, welche Tricks sie anwendet und wie Sie sich schützen können, erfahren Sie hier.
Unser Beitrag über Ransomware Cactus im Überblick:
Cactus zielt auf Firmen ab
Hacker überlegen sich immer wieder neue Tricks, um Schadsoftware möglichst unbemerkt auf fremde Rechner zu schleusen. Das Ziel der kriminellen Angreifer ist dabei immer das gleiche: Sie wollen sich möglichst einfach auf Kosten anderer bereichern. Deshalb ändern sie ihr Vorgehen immer wieder, sodass das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits in seinem Lagebericht des Jahres 2022 feststellen musste, dass im untersuchten Zeitraum täglich fast 319.000 neue Schadprogramm-Varianten entstanden sind.
Aktuell breitet sich gerade die Ransomware Cactus aus. Sie benimmt sich zunächst wie ein ganz normaler Erpressertrojaner: Daten werden verschlüsselt und gestohlen, die Opfer erpresst. Zahlen sie das geforderte Lösegeld nicht – die Rede ist von Forderungen in Millionenhöhe – drohen die Angreifer damit, Firmengeheimnisse zu veröffentlichen.
Cactus nutzt allerdings einen besonders fiesen Trick, um auf fremde Rechner zu gelangen: Um nicht nicht von Antivirenprogrammen und Monitoring-Tools erkannt zu werden, verschlüsselt sich die Ransomware selbst. Ziel der Angriffe sind in erster Linie Firmen, da diese oft eher bereit sind, höhere Lösegeldsummen zu bezahlen.
Vor allem Firmen sind das Ziel der Malware Cactus. Bild: Unsplash/Campaign Creators
Ransomware Cactus seit März aktiv
Bleeping Computer hat festgestellt, dass die Schadsoftware Cactus mindestens seit März 2023 aktiv ist. Ihr gelingt der Zugriff auf fremde Rechner durch einen ganz besonderen Trick: Sie verschlüsselt sich selbst.
Bevor sie das aber tut, nutzen die Angreifer bekannte Sicherheitslücken in VPN-Lösungen von Fortinet aus, indem sie über einen VPN-Server auf das Netzwerk zugreifen. War der erste Schritt erfolgreich, führen die Hacker ein Batch-Skript aus, um die Ransomware nachzuladen. Der Schadcode wird dabei in einer .zip-Datei übertragen und erst nach dem Download extrahiert.
Das bedeutet: Solange die Schadsoftware heruntergeladen wird, ist sie verschlüsselt. Angreifer gehen diesen Weg, damit der Zugriff nicht von Schutzsystemen wie Antivirensoftware und Überwachungstools unterbunden wird.
Schutz vor Malware
Sich vor Cactus zu schützen ist nicht ganz so leicht, denn sie hat weitere Tricks im Gepäck, um Abwehrmechanismen der angegriffenen Rechner und Netzwerke zu umgehen. Dennoch ist es natürlich möglich, sich auch vor diesem Angriff zu schützen. Bekannt ist, dass die Angreifer eine Schwachstelle in den VPN-Lösungen von Fortinet ausnutzen.
Deshalb unser Tipp: Halten Sie unbedingt die Firmware aktuell und monitoren Sie, ob größere Datenmengen aus Ihrem Netzwerk abfließen. Denn vor allem der ungewöhnlich hohe Datenabfluss bietet einen ersten Hinweis auf ungewünschte Aktivitäten.
Weitere Maßnahmen, die wir unbedingt empfehlen, sind:
- eine dauerhafte Überwachung, das sogenannte Monitoring. Es schützt vor verschiedensten Bedrohungen, indem Anwendungen kontinuierlich überwacht werden, sodass bei verdächtigen Aktivitäten sofort reagiert werden kann und
- die Nutzung spezieller Technologien, die unter anderem im Rahmen von Anti-Ransomware-Systemen zum Einsatz kommen, hilf dabei, Schwachstellen und Sicherheitslücken aufzuspüren, zu bewerten und zu beseitigen.
PC-SPEZIALIST vor Ort ist Ihr Ansprechpartner, wenn Sie die IT-Sicherheit in Ihrem Unternehmen erhöhen möchten. Mit dem IT-Basisschutz sorgen wir beispielsweise für ein kontinuierliches Desktop- und Patch-Management, sodass Ihre Firmen-IT nachhaltig geschützt ist. Gern führen wir auch einen IT-Sicherheitscheck durch, um Schwachstellen in Ihrer IT-Infrastruktur festzustellen. Nehmen Sie Kontakt zu uns auf und lassen Sie sich beraten.
_______________________________________________
Quellen: BSI, Bleeping Computer, winfuture, netzwoche
Schreiben Sie einen Kommentar