Cactus

Überblick

Bei CACTUS handelt es sich um eine Ransomware-Gruppe, die durch die Ausnutzung von Schwachstellen für den Erstzugang und die anschließende Etablierung in der Infrastruktur betroffener Organisationen bekannt wurde. Über die Akteure selbst ist wenig gesichert. Nach der Verschlüsselung legt die Schadsoftware eine Erpressernachricht in einer Textdatei mit dem Namen „cAcTuS.readme.txt“ ab, während die verschlüsselten Dateien mit der Endung „.cts1“ versehen werden. Charakteristisch ist die Abwicklung von Datenabfluss und Erpressung über den Kommunikationsdienst Tox, der die Gruppe für den Kontakt mit den Opfern nutzt. Das Vorgehen folgt dem Muster der doppelten Erpressung: Daten werden vor der Verschlüsselung entwendet, um zusätzlichen Druck aufzubauen. Im Fokus stehen Einrichtungen unterschiedlicher Branchen, deren über das Internet erreichbare Anwendungen einen Einstiegspunkt bieten.

Taktiken & Vorgehen

Den Erstzugang verschafft sich CACTUS durch die Ausnutzung von Schwachstellen in öffentlich erreichbaren Anwendungen, insbesondere in VPN-Lösungen. Zur Aufklärung des Netzwerks kommen Werkzeuge wie Nmap und SoftPerfect NetScan zum Einsatz; LSASS-Speicherabbilder sowie das Auslesen von Browser-Passwörtern dienen der Erbeutung von Zugangsdaten. Für laterale Bewegung werden gültige Konten über RDP genutzt, SSH-Tunnel aufgebaut und Fernwartungssoftware wie AnyDesk, Splashtop und SuperOps eingesetzt. Cobalt Strike sowie Proxy- und Tunnelwerkzeuge wie Chisel sichern die Befehls- und Kontrollkommunikation. Persistenz entsteht über geplante Aufgaben und das Anlegen von Dienst- bzw. Systemkonten. Zur Tarnung verschleiern und packen die Akteure ihre Schadsoftware und deaktivieren Sicherheitswerkzeuge. Der Datenabfluss erfolgt mittels RClone in Cloud-Speicher, bevor die Verschlüsselung erfolgt.

Schutzmaßnahmen

Über das Internet erreichbare Anwendungen, insbesondere VPN-Lösungen, sollten zeitnah mit Sicherheitsaktualisierungen versehen und gehärtet werden, da sie als Einstiegspunkt dienen. Fernzugänge über RDP und SSH sollten eingeschränkt, durch Mehr-Faktor-Authentisierung abgesichert und überwacht werden. Der Einsatz von Fernwartungssoftware wie AnyDesk, Splashtop und SuperOps sollte erfasst und auf nicht autorisierte Installationen geprüft werden. Zugriffe auf den LSASS-Speicher und das Auslesen von Browser-Zugangsdaten sollten erkannt und unterbunden werden. Manipulationsversuche an Sicherheitswerkzeugen sollten protokolliert und alarmiert werden. Ungewöhnlicher ausgehender Datenverkehr, etwa durch RClone oder Tunnelwerkzeuge wie Chisel, sollte überwacht werden, um Datenabfluss frühzeitig zu erkennen.