Logpoint har udarbejdet en rapport, der fremhæver Cactus’ TTP'er og IoC'er for at lave alert-regler, som kan hjælpe med at identificere, hvis gruppens metoder er i brug.
Logpoint har udarbejdet en rapport, der fremhæver Cactus’ TTP'er og IoC'er for at lave alert-regler, som kan hjælpe med at identificere, hvis gruppens metoder er i brug.

Nyhed -

Cactus: Forsvar mod ny ransomware-trussel

  • Cactus dukkede op i marts i år og har siden opbygget en omfattende portefølje af højt profilerede ofre.
  • Logpoint har analyseret gruppens taktikker, teknikker og procedurer (TTP'er) samt indikatorer for kompromittering (IoC'er) for at etablere effektive forsvar.

København, 27. november, 2023 – Den avancerede ransomware-gruppe Cactus har på kort tid skabt alvorlige konsekvens for dens ofre. Gruppe, som først gjorde sin entre i marts 2023, er hurtigt blevet en af de mest produktive og rangerer nu som nummer 7 på listen over grupper med flest ofre om måneden. Cactus retter sine angreb mod store virksomheder og går efter store summer i løsepenge.

"Cactus er et godt eksempel på, at ransomware-grupper bliver stadig mere sofistikerede i deres angreb. Det bemærkelsesværdige her er, at malwaren krypterer sig selv for ikke at blive opdaget," siger Bibek Thapa Magar, Security Analytics Researcher hos Logpoint. "Gruppens snedige måde at undgå forsvarsmekanismer på viser, at de er dygtige til spillet. Cactus har hurtigt gjort indtryk med double extortion, kompromittering af følsomme data og begrænsede valgmuligheder for deres ofre."

Cactus er en sofistikeret ransomware med unikke funktioner såsom automatisk kryptering og ændring af fileudvidelser efter kryptering, hvilket gør det betydeligt sværere at opdage inficerede filer. Gruppen benytter den velkendte UPX-packer og deler krypterede filer i op i mikro-buffere for at håndtere de krypterede datastrømme hurtigere.

Logpoint har udarbejdet en rapport, der fremhæver Cactus’ TTP'er og IoC'er for at lave alert-regler, som kan hjælpe med at identificere, hvis gruppens metoder er i brug. Ifølge Kroll udnytter Kaktus kendte sårbarheder i VPN-enheder for at opnå ’initial access’ og etablere ’command and control’ med SSH. Gruppen forsøger at udtrække LSASS og loginoplysninger fra webbrowsere for at eskalere privilegier. Til sidst opnår Cactus adgang til specifikke computere ved hjælp af Splashtop eller AnyDesk og opretter en proxy mellem de inficerede værter med Chisel, før filerne krypteres.

"Cactus er en påmindelse om, at grundlæggende cyberhygiejne er afgørende, men det understreger også, at overvågning og detektering er nøglen til beskyttelse mod nyere ransomware-varianter," siger Bibek Thapa Magar. "Hvis en sikkerhedsmedarbejder opdager aktivitet, bør de efterforske det og sørge for, at det ikke spreder sig ved at deaktivere virtuelle private netværk (VPN), fjernadgangsservere, single sign-on-ressourcer og offentligt tilgængelige aktiver. Derefter kan man arbejde på at inddæmme angrebet, fjerne malware og uautoriseret adgang og genoprette systemer."

Logpoints cybersikkerhedsplatform kommer med værktøjerne til at identificere, evaluere og begrænse konsekvenserne af Cactus-ransomware. Udover en pakke med alert-regler til at hjælpe med at opdage aktivitet gør Logpoint det muligt for sikkerhedsteams at automatisere processer til håndtering af sikkerhedshændelser.

Læs Logpoints fulde rapport om Cactus her og få et indblik i gruppens angrebsdesign, og hvordan man opdager og reagerer effektivt på truslen.

Related links

Kategorier

Kontakt

Maimouna Corr Fonsbøl

Maimouna Corr Fonsbøl

Pressekontakt PR Manager PR & Communications

Relateret media Download images for media use

Bibek Thapa Magar
  • Bibek Thapa Magar
  • Licens: Brug i medier
    Materialet kan downloades af journalister, bloggere, meningsdannere etc. Det kan bruges og deles i forskellige sociale medier-kanaler med det formål fremføre, fortælle, kommentere eller redegøre for jeres pressemeddelelser og andre publiceringer - forudsat at materialet er uredigeret og publiceret i sin helhed. Forfatteren eller skaberen af materialet skal krediteres i det omfang, som god skik kræver (det betyder f.eks. at fotografer skal krediteres).
  • Filformat: .png
  • Størrelse: 677 x 767, 562 KB
Download
Cactus_Forsvar mod ny ransomware-trussel
  • Cactus_Forsvar mod ny ransomware-trussel
  • Licens: Brug i medier
    Materialet kan downloades af journalister, bloggere, meningsdannere etc. Det kan bruges og deles i forskellige sociale medier-kanaler med det formål fremføre, fortælle, kommentere eller redegøre for jeres pressemeddelelser og andre publiceringer - forudsat at materialet er uredigeret og publiceret i sin helhed. Forfatteren eller skaberen af materialet skal krediteres i det omfang, som god skik kræver (det betyder f.eks. at fotografer skal krediteres).
  • Filformat: .png
  • Størrelse: 1920 x 1080, 1,45 MB
Download

Relateret materiale

Cozy Bear: Afdækning af berygtet cybergruppes arsenal

Cozy Bear: Afdækning af berygtet cybergruppes arsenal

Den berygtede statsstøttede APT-gruppe (Advanced Persistent Threat) med forbindelse til Rusland er stadig aktiv og udgør en alvorlig trussel mod organisationer. Logpoint har analyseret gruppens taktikker, teknikker og procedurer (TTP'er) for at hjælpe organisationer med at opdage trusselaktøren og minimere truslen.

8base øger aktivitetsniveauet markant

Angreb mod SMV'er: 8base øger aktivitetsniveauet markant

8base er blandt de 5 mest aktive ransomware-grupper denne sommer og Logpoint har offentliggjort TTP'er (Tactics, Techniques, & Procedures) og IoC'er (Indicators of Compromise) knyttet til gruppen.

Logpoint Danmark

Headquartered in Copenhagen, Denmark, with offices across Europe, the USA, and Asia, Logpoint is a multinational, multicultural, inclusive cybersecurity company. LogPoint bolsters organizations in the fight against evolving threats by giving them a single source of truth — an intuitively designed platform with the powerful capabilities needed to ensure their safety. Powered by machine learning and backed by an industry-leading support team, Logpoint’s cybersecurity operations platform accelerates detection and response, allowing organizations to respond to tomorrow’s threats.
Logpoint’s core belief lies in creating software that empowers security teams to make confident decisions, feel justified in their choices, and more efficiently protect their organizations. That principle has earned them the trust of more than 1,000 organizations worldwide, as well as a place in Gartner’s Magic Quadrant.
The company’s culture prioritizes passion, innovation, team spirit, and client satisfaction. Together, these values fuel Logpoint’s success across cybersecurity technologies: from SIEM, UEBA, and SOAR to SAP security, converged into an integrated security operations platform, created to protect the digital heart of organizations.

Logpoint
Bryggervangen 55
2100 Copenhagen
Danmark
Besøg vores hjemmeside
Besøg vores andre nyhedsrum