In einem am 9. Mai 2024 ver\u00f6ffentlichten Bericht decken Cybersicherheitsforscher Details \u00fcber eine neue Ransomware-Variante namens ‚CACTUS‘ auf. Diese Schadsoftware nutzt bekannte Schwachstellen in VPN-Ger\u00e4ten, um sich zun\u00e4chst Zugang zu den Netzwerken ihrer Opfer zu verschaffen.<\/p>\n
Sobald die Angreifer Zugang zum Netzwerk erhalten haben, versuchen sie, lokale und Netzwerkbenutzerkonten sowie erreichbare Endpunkte aufzulisten. Anschlie\u00dfend erstellen sie neue Benutzerkonten und setzen benutzerdefinierte Skripte ein, um die Bereitstellung und Z\u00fcndung des Ransomware-Verschl\u00fcsselers \u00fcber geplante Aufgaben zu automatisieren.<\/p>\n
Die Angriffe nutzen doppelte Erpressungstaktiken, bei denen sensible Daten gestohlen und vor der Verschl\u00fcsselung abgezogen werden. Bislang wurde noch keine Daten-Leak-Site identifiziert.<\/p>\n
Nach erfolgreicher Ausnutzung von VPN-Schwachstellen installieren die Angreifer eine SSH-Hintert\u00fcr, um dauerhaften Zugriff zu erhalten. Sie f\u00fchren dann eine Reihe von PowerShell-Befehlen aus, um das Netzwerk zu scannen und eine Liste von Maschinen f\u00fcr die Verschl\u00fcsselung zu erstellen.<\/p>\n
F\u00fcr die Steuerung und Kontrolle werden Cobalt Strike und ein Tunneling-Tool namens Chisel eingesetzt. Dar\u00fcber hinaus werden Remote-Monitoring- und Management-Software wie AnyDesk verwendet, um Dateien auf die infizierten Hosts zu \u00fcbertragen.<\/p>\n
Weitere Schritte beinhalten das Deaktivieren und Deinstallieren von Sicherheitsl\u00f6sungen sowie die Extraktion von Anmeldeinformationen aus Webbrowsern und dem Local Security Authority Subsystem Service (LSASS) zur Eskalation von Berechtigungen.<\/p>\n
Nach der Privilegienerweiterung folgen laterale Bewegung, Datenexfiltration und schlie\u00dflich die Bereitstellung der Ransomware. Letzteres wird durch ein PowerShell-Skript erreicht, das auch von Black Basta verwendet wurde.<\/p>\n
Ein neuartiger Aspekt von CACTUS ist der Einsatz eines Batch-Skripts, um die Ransomware-Bin\u00e4rdatei mit 7-Zip zu extrahieren. Anschlie\u00dfend wird das 7z-Archiv entfernt, bevor die Schadsoftware ausgef\u00fchrt wird.<\/p>\n
CACTUS hat seit M\u00e4rz 2024 gro\u00dfe kommerzielle Unternehmen ins Visier genommen. Die Angriffe richten sich vorwiegend gegen gro\u00dfe Unternehmen.<\/p>\n
Sicherheitsexperten empfehlen, dass Unternehmen Schritte unternehmen, um Systeme auf dem neuesten Stand zu halten und das Prinzip der geringsten Berechtigung (Principle of Least Privilege) durchzusetzen.<\/p>\n
Laurie Iacono, Associate Managing Director f\u00fcr Cyber-Risiken bei Kroll, erkl\u00e4rte gegen\u00fcber The Hacker News: „Diese neue Ransomware-Variante namens CACTUS nutzt eine Schwachstelle in einem beliebten VPN-Ger\u00e4t und zeigt, dass Bedrohungsakteure weiterhin auf Remote-Zugriffsdienste und ungepatchte Schwachstellen f\u00fcr den ersten Zugriff abzielen.“<\/p>\n
Vor kurzem trat auch eine weitere Ransomware namens Rapture in Erscheinung, die \u00c4hnlichkeiten mit anderen Familien wie Paradise aufweist. Trend Micro gab an, dass die gesamte Infektionskette in den meisten F\u00e4llen nur drei bis f\u00fcnf Tage dauert, beginnend mit der ersten Aufkl\u00e4rung, gefolgt von der Bereitstellung von Cobalt Strike, das dann zur Verteilung der .NET-basierten Ransomware verwendet wird.<\/p>\n
Die Eindringung wird vermutlich durch anf\u00e4llige \u00f6ffentlich zug\u00e4ngliche Websites und Server erm\u00f6glicht, was es f\u00fcr Unternehmen unerl\u00e4sslich macht, Sicherheitsupdates zeitnah durchzuf\u00fchren und das Prinzip der geringsten Berechtigung zu befolgen.<\/p>\n
CACTUS und Rapture sind die j\u00fcngsten Erg\u00e4nzungen zu einer langen Liste neuer Ransomware-Familien, die in den letzten Wochen aufgetaucht sind, darunter Gazprom, BlackBit, UNIZA, Akira und eine NoCry-Ransomware-Variante namens Kadavro Vector.<\/p>\n
Vorbeugende Ma\u00dfnahmen und Bewusstsein bei Unternehmen und Einzelpersonen sind entscheidend, um die Ausbreitung dieser Bedrohungen einzud\u00e4mmen und ihre Auswirkungen zu minimieren.<\/p>\n
In den letzten Jahren haben Ransomware-Angriffe stark zugenommen und stellen eine ernsthafte Gefahr f\u00fcr Unternehmen aller Gr\u00f6\u00dfen dar. Angreifer nutzen bei diesen Angriffen Schwachstellen in Softwareprodukten und IT-Systemen, um sich Zugang zu Netzwerken zu verschaffen, sensible Daten zu stehlen und Systeme zu verschl\u00fcsseln. Im Anschluss erpressen die Angreifer ihre Opfer, indem sie f\u00fcr die Entschl\u00fcsselung der Daten ein L\u00f6segeld fordern.<\/p>\n
Problematisch ist nicht nur der direkte finanzielle Schaden durch L\u00f6segeldzahlungen, sondern auch die Kosten f\u00fcr Wiederherstellung und Ausfallzeiten von IT-Systemen. Dar\u00fcber hinaus kann der Verlust sensibler Daten und Imagesch\u00e4den die Existenz von Unternehmen gef\u00e4hrden.<\/p>\n
Moderne Ransomware wie CACTUS setzt auf ausgefeilte Taktiken wie die Ausnutzung von Schwachstellen in VPN-L\u00f6sungen f\u00fcr den ersten Zugriff. Anschlie\u00dfend deployen die Angreifer weitere Schadsoftware wie Cobalt Strike f\u00fcr die Steuerung und Kontrolle infizierter Systeme. Zugleich werden Schritte unternommen, um Sicherheitsl\u00f6sungen zu umgehen und sogar \u00fcber gestohlene Anmeldedaten Berechtigungen zu eskalieren.<\/p>\n
Cyberkriminelle sind st\u00e4ndig auf der Suche nach neuen Wegen, um in Unternehmensnetzwerke einzudringen und ihre Ransomware zu verbreiten. Unternehmen m\u00fcssen dieser anhaltenden Bedrohung mit gezielten Sicherheitsma\u00dfnahmen begegnen und ein hohes Ma\u00df an Wachsamkeit wahren.<\/p>\n
Ransomware-Angriffe stellen eine der gr\u00f6\u00dften Bedrohungen f\u00fcr Unternehmen im digitalen Zeitalter dar. Allein im Jahr 2024 verursachten Ransomware-Angriffe einen gesch\u00e4tzten Schaden von \u00fcber 20 Milliarden Dollar. Doch die Auswirkungen gehen weit \u00fcber den finanziellen Aspekt hinaus.<\/p>\n
F\u00fcr viele Unternehmen kann ein erfolgreicher Ransomware-Angriff existenzbedrohend sein. Neben den unmittelbaren Kosten f\u00fcr die Entschl\u00fcsselung von Daten und die Wiederherstellung von Systemen k\u00f6nnen auch der Verlust sensibler Informationen und schwerwiegende Reputationssch\u00e4den erhebliche Konsequenzen haben.<\/p>\n
Ransomware-Gruppen wie CACTUS, Rapture oder Black Basta agieren mit hoher krimineller Energie und setzen ausgefeilte Taktiken ein. Dazu geh\u00f6ren das Ausnutzen von Schwachstellen, das Umgehen von Sicherheitsvorkehrungen und die laterale Bewegung innerhalb von Netzwerken. Oftmals werden auch Daten gestohlen, um zus\u00e4tzlichen Druck auf Opfer auszu\u00fcben.<\/p>\n
Erschwerend kommt hinzu, dass Ransomware-Angriffe im Verborgenen stattfinden und h\u00e4ufig erst bemerkt werden, wenn Systeme bereits verschl\u00fcsselt und sensible Daten gestohlen sind. Eine proaktive Verteidigung ist daher unerl\u00e4sslich.<\/p>\n
Unternehmen m\u00fcssen Sicherheitsma\u00dfnahmen auf mehreren Ebenen umsetzen, um die Risiken zu minimieren. Dazu geh\u00f6ren regelm\u00e4\u00dfige Sicherheitsupdates, die Umsetzung des Prinzips der geringsten Berechtigung, robuste Backup- und Wiederherstellungsstrategien sowie eine kontinuierliche \u00dcberwachung von Netzwerken und Systemen auf verd\u00e4chtige Aktivit\u00e4ten.<\/p>\n
Zudem ist eine umfassende Sensibilisierung und Schulung der Mitarbeiter unerl\u00e4sslich. Sie m\u00fcssen f\u00fcr die Gefahren von Ransomware und Social Engineering sensibilisiert werden, um potenzielle Angriffsvektoren fr\u00fchzeitig erkennen zu k\u00f6nnen.<\/p>\n
Ransomware-Angriffe bleiben eine ernstzunehmende Bedrohung, der sich Unternehmen mit Wachsamkeit und gezielten Sicherheitsma\u00dfnahmen entgegenstellen m\u00fcssen. Eine proaktive Verteidigung ist der Schl\u00fcssel, um die Risiken zu minimieren und die Widerstandsf\u00e4higkeit gegen\u00fcber Cyberangriffen zu erh\u00f6hen.<\/p>\n
Angesichts der wachsenden Bedrohung durch Ransomware wie CACTUS, Rapture und andere Varianten ist es f\u00fcr Unternehmen unerl\u00e4sslich, proaktive Sicherheitsma\u00dfnahmen zu ergreifen, um einen Angriff zu verhindern und sich bestm\u00f6glich zu sch\u00fctzen.<\/p>\n
Ransomware-Angriffe stellen eine kontinuierliche Bedrohung dar, der sich Unternehmen nur durch eine ganzheitliche Sicherheitsstrategie und proaktive Ma\u00dfnahmen effektiv entgegenstellen k\u00f6nnen. Nur so k\u00f6nnen die Risiken minimiert und die Widerstandsf\u00e4higkeit gegen\u00fcber Cyberangriffen erh\u00f6ht werden.<\/p>\n
Eine robuste Backup-Strategie ist ein entscheidender Bestandteil der Verteidigungslinie gegen Ransomware-Angriffe. Sollten Unternehmenssysteme trotz aller Vorsichtsma\u00dfnahmen kompromittiert und Daten verschl\u00fcsselt werden, bieten regelm\u00e4\u00dfige Backups die M\u00f6glichkeit, Daten und Systeme schnell wiederherzustellen und den Betrieb fortzusetzen.<\/p>\n","protected":false},"excerpt":{"rendered":"
In einem am 9. Mai 2024 ver\u00f6ffentlichten Bericht decken Cybersicherheitsforscher Details \u00fcber eine neue Ransomware-Variante namens ‚CACTUS‘ auf. Diese Schadsoftware nutzt bekannte Schwachstellen in VPN-Ger\u00e4ten, um sich zun\u00e4chst Zugang zu den Netzwerken ihrer Opfer zu verschaffen. Taktiken zur Infiltration und Verbreitung Sobald die Angreifer Zugang zum Netzwerk erhalten haben, versuchen sie, lokale und Netzwerkbenutzerkonten sowie […]<\/p>\n","protected":false},"author":2,"featured_media":8125,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_lmt_disableupdate":"","_lmt_disable":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-8124","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"yoast_head":"\n