Ransomware wykorzystuje luki w VPN do infiltracji sieci
Nowa wersja oprogramowania ransomware “CACTUS” wykorzystuje luki VPN do infiltracji sieci. Atakowane są zwłaszcza duże firmy.

- Damian Jemioło
- /
- 17 maja 2023
CACTUS wykorzystuje luki w VPN
Badacze zajmujący się cyberbezpieczeństwem odkryli nową odmianę szkodliwego oprogramowania o nazwie CACTUS. Wykorzystuje słabości w urządzeniach VPN w celu uzyskania wstępnego dostępu do docelowych sieci.
Firma Kroll w rozmowie z The Hacker News wskazała, że jej eksperci zauważyli, że po dostaniu się do sieci, cyberprzestępcy wykorzystujący CACTUS, próbują znaleźć lokalne i sieciowe konta użytkowników, a także dostępne punkty końcowe. Następnie tworzą nowe profile i używają niestandardowych skryptów do automatyzacji instalacji i uruchamiania złośliwego oprogramowania ransomware za pomocą zaplanowanych zadań.
Jak zapobiegać atakom ransomware?Michał Górecki
Od marca 2023 r. obserwuje się, że oprogramowanie ransomware CACTUS atakuje duże firmy, wykorzystując taktykę podwójnego szantażu, aby najpierw ukraść poufne dane, a następnie zaszyfrować je. Po co? Aby uzyskać okup. Nie stwierdzono jak dotąd wycieku takich danych.
CACTUS to zagrożenie dla firm
Po skutecznym wykorzystaniu podatnych na ataki urządzeń VPN tworzony jest tajny dostęp SSH, który pozwala utrzymać stałe połączenie, a następnie wykonuje się serię poleceń PowerShell, które skanują sieć i identyfikują listę maszyn, które mają zostać zaszyfrowane.
Ataki CACTUS wykorzystują również narzędzia takie jak Cobalt Strike i program tunelujący o nazwie Chisel do kontroli i zarządzania, a także oprogramowanie zdalnego monitorowania i zarządzania (RMM), na przykład AnyDesk, do przesyłania plików na zainfekowane urządzenia.
Cyberprzestępcy próbowali także wyłączać i usuwać cyberzabezpieczenia, a także wyodrębniać poświadczenia z przeglądarek internetowych. Wszystko po to, aby uzyskiwać jeszcze więcej uprawnień w hakowanym podmiocie.
Fortinet: Ataki typu ransomware pozostają rzeczywistościąMikołaj Frączak
Jak twierdzi Laurie Iacono z firmy Kroll w tym przypadku CACTUS jest o tyle groźny, że sam się szyfruje, co utrudnia jego wykrycie. Jednak nie jest to jedyne tego typu oprogramowanie. Firma Trend Micro niedawno opisywała ransomware Rapture, które również pozwala na infiltrację sieci poprzez luki w VPN-ach. Oprogramowania typu ransomware niestety stale przybywa. I jak pokazuje przypadek VPN-ów – coś, co komunikowane jest jako „zwiększające bezpieczeństwo”, niekoniecznie musi to robić.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?