GETOVERX FORUM Community Support   ›   Malware Docs   ›   Ransomware   ›   Cactus – Ransomware – 2023

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Cactus – Ransomware – 2023
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
12-05-2025, 04:43 PM (This post was last modified: 12-07-2025, 03:43 PM by mrwebfeeder.)
Nombre: Cactus

Categoría: Ransomware (double extortion)

Fecha de descubrimiento: 2023 (campañas activas desde aprox. marzo)

Comportamiento (lo que hace y archivos que infecta):
  • Suele llegar a través de:
    - VPN vulnerables.
    - Servicios expuestos a Internet (RDP, paneles web, etc.).
    - Credenciales robadas.
    - Explotación de fallos en aplicaciones web u otros vectores de acceso inicial.
  • Una vez dentro:
    - Los atacantes realizan reconocimiento del entorno y mapean la red.
    - Identifican servidores críticos, shares y máquinas con backups accesibles.
    - Desactivan o intentan desactivar herramientas de seguridad (AV, EDR, copias de sombra).
    - Exfiltran datos sensibles antes del cifrado para extorsión doble (amenaza de filtración).
  • Cifra documentos, bases de datos, imágenes, proyectos, máquinas virtuales y copias de seguridad accesibles, dejando notas de rescate, por ejemplo:
    Code:
    CaCtUs.ReAdMe.txt
  • Utiliza esquemas de cifrado fuertes (típicamente combinando AES + RSA) y puede usar extensiones como:
    Code:
    .cts0
    o
    Code:
    .cts1
    para marcar los archivos cifrados.
  • Evita directorios y extensiones de sistema para no inutilizar completamente el sistema operativo y mantener la máquina operativa lo suficiente para mostrar la nota de rescate.

Persistencia:
  • Copia el ejecutable en rutas como:
    Code:
    C:\ProgramData\
    usando nombres aleatorios o que parecen legítimos (p.ej. nombres relacionados con “update”, “service”, “agent”, etc.).
  • Crea tareas programadas para relanzar el binario, por ejemplo con nombres tipo:
    Code:
    Updates Check Task
    u otros que imitan tareas del sistema.
  • Emplea un mutex para evitar múltiples instancias simultáneas y mejorar la estabilidad durante el cifrado.
  • Los atacantes pueden mantener persistencia adicional mediante:
    - Herramientas de administración remota.
    - Shells interactivas.
    - Cuentas locales o de dominio comprometidas.

Hash real de referencia (SHA-256):
Muestra pública asociada a Cactus:
Code:
78C16DE9FC07F1D0375A093903F86583A4E32037A7DA8AA2F90ECB15C4862C17

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Realizar escaneos completos que incluyan:
    -
    Code:
    C:\ProgramData\
    - Directorios de sistema y de usuario donde puedan residir el binario principal, droppers y archivos auxiliares.
    - Mantener las heurísticas y reglas específicas de ransomware activadas para detectar:
    - Comportamientos de cifrado masivo.
    - Accesos intensivos a ficheros en shares y rutas críticas.
    - Eliminar o poner en cuarentena todo artefacto relacionado confirmado como malicioso y repetir el escaneo antes de reconectar el host a la red.

  • Firewall:
    • Limitar el acceso remoto a la red (VPN, RDP, SSH, paneles de administración) mediante:
      - Autenticación multifactor (MFA).
      - Listas de IPs permitidas (allowlist).
      - Políticas estrictas para accesos desde Internet.
    • Bloquear comunicaciones hacia dominios/IPs asociados a la infraestructura de Cactus y hacia cualquier host sospechoso detectado durante el incidente.
    • Aislar rápidamente los hosts que muestren:
      - Actividad de cifrado inusual.
      - Conexiones de red fuera de patrón.
      - Cambios en reglas de firewall o políticas de seguridad.

  • HIPS/EDR:
    • Monitorizar y bloquear la creación de tareas programadas que apunten a ejecutables en
      Code:
      ProgramData
      o rutas no estándar.
    • Detectar patrones de lectura/escritura intensivos sobre grandes volúmenes de archivos (indicadores típicos de cifrado masivo).
    • Evitar el borrado de copias de sombra y la desactivación de servicios de seguridad mediante reglas específicas de protección de:
      -
      Code:
      vssadmin
      -
      Code:
      wmic
      - Servicios críticos de seguridad.
    • Configurar respuesta automática para:
      - Matar el proceso responsable del cifrado.
      - Bloquear el hash del ejecutable malicioso.
      - Iniciar el aislamiento de red del endpoint afectado.

  • Sandbox:
    • Analizar ejecutables sospechosos (especialmente aquellos que llegan a servidores o estaciones clave) antes de su ejecución real:
      - Herramientas recibidas de proveedores de soporte.
      - Scripts y binarios entregados a través de canales remotos.
    • Observar si el binario en Sandbox:
      - Intenta cifrar grandes volúmenes de archivos.
      - Crea tareas programadas o entradas de Registro para persistencia.
      - Intenta contactar con infraestructura remota de C2 asociada a Cactus.

  • Medidas posteriores al incidente:
    • Restaurar los sistemas desde backups offline verificados, asegurándose de que:
      - No estuvieron accesibles desde los hosts comprometidos.
      - No presentan signos de cifrado o manipulación.
    • Cambiar credenciales utilizadas en accesos remotos (VPN, RDP, paneles de administración, cuentas de dominio).
    • Revisar logs de VPN, RDP, firewall y servidores para:
      - Reconstruir la línea temporal del ataque.
      - Identificar el vector de entrada.
      - Listar todos los sistemas potencialmente comprometidos.
    • Revisar herramientas de administración remota instaladas e identificar posibles backdoors o agentes no autorizados, eliminándolos y reforzando los procedimientos de acceso remoto legítimo.

Notas opcionales:
- Cactus representa un modelo típico de ransomware de doble extorsión: combina cifrado de datos con exfiltración previa para presionar el pago, incluso si la organización tiene copias de seguridad.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)