Ransomware wykorzystuje luki w VPN do infiltracji sieci

Nowa wersja oprogramowania ransomware “CACTUS” wykorzystuje luki VPN do infiltracji sieci. Atakowane są zwłaszcza duże firmy.

  • Damian Jemioło
  • /
  • 17 maja 2023

CACTUS wykorzystuje luki w VPN

Badacze zajmujący się cyberbezpieczeństwem odkryli nową odmianę szkodliwego oprogramowania o nazwie CACTUS. Wykorzystuje słabości w urządzeniach VPN w celu uzyskania wstępnego dostępu do docelowych sieci.

Firma Kroll w rozmowie z The Hacker News wskazała, że jej eksperci zauważyli, że po dostaniu się do sieci, cyberprzestępcy wykorzystujący CACTUS, próbują znaleźć lokalne i sieciowe konta użytkowników, a także dostępne punkty końcowe. Następnie tworzą nowe profile i używają niestandardowych skryptów do automatyzacji instalacji i uruchamiania złośliwego oprogramowania ransomware za pomocą zaplanowanych zadań.

Jak zapobiegać atakom ransomware?Jak zapobiegać atakom ransomware?Michał Górecki

Od marca 2023 r. obserwuje się, że oprogramowanie ransomware CACTUS atakuje duże firmy, wykorzystując taktykę podwójnego szantażu, aby najpierw ukraść poufne dane, a następnie zaszyfrować je. Po co? Aby uzyskać okup. Nie stwierdzono jak dotąd wycieku takich danych.

CACTUS to zagrożenie dla firm

Po skutecznym wykorzystaniu podatnych na ataki urządzeń VPN tworzony jest tajny dostęp SSH, który pozwala utrzymać stałe połączenie, a następnie wykonuje się serię poleceń PowerShell, które skanują sieć i identyfikują listę maszyn, które mają zostać zaszyfrowane.

Ataki CACTUS wykorzystują również narzędzia takie jak Cobalt Strike i program tunelujący o nazwie Chisel do kontroli i zarządzania, a także oprogramowanie zdalnego monitorowania i zarządzania (RMM), na przykład AnyDesk, do przesyłania plików na zainfekowane urządzenia.

Cyberprzestępcy próbowali także wyłączać i usuwać cyberzabezpieczenia, a także wyodrębniać poświadczenia z przeglądarek internetowych. Wszystko po to, aby uzyskiwać jeszcze więcej uprawnień w hakowanym podmiocie. 

Fortinet: Ataki typu ransomware pozostają rzeczywistościąFortinet: Ataki typu ransomware pozostają rzeczywistościąMikołaj Frączak

Jak twierdzi Laurie Iacono z firmy Kroll w tym przypadku CACTUS jest o tyle groźny, że sam się szyfruje, co utrudnia jego wykrycie. Jednak nie jest to jedyne tego typu oprogramowanie. Firma Trend Micro niedawno opisywała ransomware Rapture, które również pozwala na infiltrację sieci poprzez luki w VPN-ach. Oprogramowania typu ransomware niestety stale przybywa. I jak pokazuje przypadek VPN-ów – coś, co komunikowane jest jako „zwiększające bezpieczeństwo”, niekoniecznie musi to robić.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: naruszenia bezpieczeństwo w sieci ochrona przed ransomware vpn
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!