Aggiornamenti recenti Maggio 2nd, 2024 9:20 AM
Mag 09, 2023 Marina Londei Attacchi, Malware, Minacce, News, RSS 0
I ricercatori di Kroll, azienda di consulenza con sede a New York, hanno individuato un nuovo ransomware chiamato “Cactus” in grado di criptare i propri file binari per superare i controlli di sicurezza.
Come riportato da BleepingComputer, il ransomware è attivo da inizio marzo e ha utilizzato le vulnerabilità presenti nelle VPN Fortinet per ottenere l’accesso alle reti aziendali.
Ottenuto l’accesso alla rete, gli attaccanti usano una backdoor SSH per avere controllo persistente sui dispositivi; Cactus, inoltre, fa uso di netscan per individuare i target più interessanti nella rete. Il ransomware utilizza anche tool come Splahtop e AnyDesk per ottenere accessi remoti multipli, e Cobalt Strike per comunicare col server Command and Control.
Cactus in seguito procede per ottenere i privilegi di amministratore e disinstallare i prodotti di sicurezza presenti nel dispositivo. Il ransomware è anche in grado di sottrarre dati e trasferirli nel cloud tramite il tool Rclone; dopo aver trasferito i dati, gli attaccanti utilizzato lo script TotalExec per automatizzare il processo di cifratura.
Il gruppo dietro Cactus utilizza uno script batch per ottenere il binario dell’encryptor; l’archivio .zip originale viene rimosso e il binario viene installato con un flag specifico per garantirne l’esecuzione. Gli attaccanti utilizzano una chiave AES per decriptare il ransomware: eseguendo il binario con la chiave corretta, Cactus dà il via a un processo multi-thread per cifrare file e cartelle.
Al momento non si conoscono i dettagli sui tempi e le cifre imposti alle vittime, né è stato individuato un sito dove il gruppo pubblica le informazioni sottratte; tuttavia, gli attaccanti hanno previsto una nota in cui minacciano la vittima di pubblicare i dati se non viene pagato il riscatto.
Visto che finora il ransomware ha sfruttato le vulnerabilità delle VPN Fortinet, il consiglio è di aggiornare quanto prima i dispositivi con le patch di sicurezza del fornitore.
Apr 26, 2024 0
Apr 22, 2024 0
Apr 19, 2024 0
Apr 16, 2024 0
Mag 02, 2024 0
Apr 30, 2024 0
Apr 29, 2024 0
Apr 29, 2024 0
Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...Apr 29, 2024 0
Nel periodo compreso tra il 20 e il 26 aprile,...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...