باج‌افزار جدیدی به نام کاکتوس

عملیات باج‌افزار جدیدی به نام کاکتوس از آسیب‌پذیری‌های موجود در دستگاه‌ها VPN جهت دسترسی به شبکه‌های نهادهای تجاری بزرگ سواستفاده می‌کند. ‌عملیات این باج‌افزار از مارس ٢٠٢٣ فعال بوده و به‌دنبال پرداخت باج‌های بزرگ از سوی قربانیان خود است. ‌در‌حالی‌که عامل تهدید، روش‌های معمولی را که در باج‌افزارها دیده می‌شود، به‌کار می‌گیرد، جهت جلوگیری از شناسایی، ویژگی خاص خود را نیز به لیست توانایی‌های خود اضافه کرده است. ‌‌کارشناسان در شرکت تحقیقاتی ریسک سازمان Kroll معتقدند که بدافزار کاکتوس با کمک آسیب‌پذیری‌های شناخته شده در دستگاه‌های VPN شرکت Fortinet، دسترسی اولیه به شبکه قربانی را به‌دست می‌آورد. ‌این ارزیابی بر اساس مشاهداتی است که در تمام حوادث مورد بررسی، هکر از یک سرور VPN با یک حساب سرویس VPN به داخل نفوذ کرده است. ‌چیزی که کاکتوس را از سایر عملیات‌ها متمایز می‌کند، استفاده از رمزگذاری جهت محافظت از باینری باج افزار است. مهاجم از یک اسکریپت بَچ برای به‌دست آوردن رمزگذار باینری با استفاده از ۷-Zip استفاده می‌کند. ‌فایل آرشیو ZIP اصلی حذف شده و باینری با یک فلگ خاص مستقر می‌شود که به آن اجازه اجرا می‌دهد. کل فرآیند غیرعادی است و محققان معتقدند که این کار را برای جلوگیری از شناسایی رمزگذار باج‌افزار انجام می‌دهند.