Passer au contenu
Logpoint a compilé un rapport mettant en évidence les TTP et IoC utilisés par Cactus pour créer des règles d'alerte afin de détecter les méthodes utilisées par le groupe
Logpoint a compilé un rapport mettant en évidence les TTP et IoC utilisés par Cactus pour créer des règles d'alerte afin de détecter les méthodes utilisées par le groupe

Actualité -

Cactus : Se défendre contre un nouveau venu chez les ransomwares

  • Cactus est apparu en mars cette année et a depuis déjà fait des ravages chez plusieurs victimes.
  • Logpoint a analysé les tactiques, techniques et procédures (TTP) ainsi que les indicateurs de compromission (IoC) pour établir des défenses.

COPENHAGUE, Danemark, 27 novembre 2023 – Cactus aussi appelé CactusTorch est un groupe d’attaquants par ransomware sophistiqué ayant un impact grave sur ses victimes. Le nouveau venu est apparu pour la première fois en mars 2023 et a intégré le top 10 des groupes ayant le plus de victimes mensuelles, se classant au septième rang avec 58 victimes au mois de novembre. Le groupe se concentre sur des paiements substantiels et cible de grandes entités commerciales.

« Cactus est un bon exemple de rançongiciel utilisant des TTP de plus en plus sophistiquées dans leurs attaques. Ce qui ressort dans ce cas, c'est que le logiciel malveillant s'auto-encrypte pour éviter la détection, » déclare Bibek Thapa Magar, Ingénieur en Analyse de Sécurité chez Logpoint. « La façon d'éviter les systèmes de défense montre que le groupe est doué dans ce domaine. Cactus a rapidement eu un impact significatif en utilisant l'extorsion double, en compromettant des données sensibles et en laissant les victimes avec peu de choix. »

Cactus est un ransomware sophistiqué avec des fonctionnalités uniques telles que l'auto-chiffrement et un changement consécutif des extensions de fichier après le chiffrement, rendant ainsi plus difficile l'identification des fichiers affectés. Il utilise le packer UPX bien connu et facilement “dé compressible” et divise les fichiers chiffrés en micro-buffers, probablement pour accélérer la gestion des flux de données chiffrées.

Logpoint a compilé un rapport mettant en évidence les TTP et IoC utilisés par Cactus pour créer des règles d'alerte afin de détecter les méthodes utilisées par le groupe. Selon Kroll, Cactus exploite des vulnérabilités connues dans les appliances VPN pour obtenir un accès initial et établit des commandes et un contrôle avec SSH. Le groupe tente de décharger LSASS et les identifiants des navigateurs web pour augmenter les privilèges. En fin de compte, Cactus accède aux ordinateurs cibles en utilisant Splashtop ou AnyDesk et crée un proxy entre les hôtes infectés en utilisant Chisel avant de chiffrer les fichiers.

« Cactus est un bon rappel que l'hygiène de base en matière de cybersécurité est importante, mais cela souligne également que la surveillance et la détection sont essentielles pour se protéger contre les ransomwares plus récents, » déclare Bibek Thapa Magar. « Si une activité est détectée, les analystes de sécurité devraient enquêter et s'assurer qu'elle ne se propage pas en désactivant les réseaux privés virtuels (VPN), les serveurs d'accès à distance, les ressources d'authentification unique et les appareils accessibles au public avant de procéder à la limitation, à l'éradication et à la récupération pour en minimiser l'impact.”

La plateforme Logpoint, Converged SIEM, contient des outils et des capacités étendus pour identifier, évaluer et atténuer l'impact du ransomware Cactus. En plus d'un ensemble de règles d'alerte pour aider à détecter l'activité de Cactus, Logpoint propose des capacités permettant aux équipes de sécurité d'automatiser des procédures essentielles de réponse aux incidents.

Lisez le rapport complet de Logpoint sur Cactus ici et plongez dans la conception des attaques du groupe ainsi que dans la manière de détecter et de répondre à la menace.

Liens connexes

Contacts presse

Maimouna Corr Fonsbøl

Maimouna Corr Fonsbøl

Contact presse PR Manager PR & Communications +45 25 66 82 98

Articles similaires

Logpoint lance de nouvelles fonctionnalités pour optimiser les performances en matière de cybersécurité

Logpoint lance de nouvelles fonctionnalités pour optimiser les performances en matière de cybersécurité

Logpoint améliore sa plateforme Converged SIEM pour aider les entreprises et les MSSP à améliorer leurs performances en matière de cybersécurité et à libérer du temps et des ressources au niveau de la gestion de leurs opérations de sécurité. La nouvelle version réduit la charge de travail au niveau des tâches opérationnelles, permettant ainsi aux équipes SOC de gagner en efficacité dans la détecti

Cozy Bear : Démasquer un arsenal d'espionnage vieux de plusieurs décennies

Cozy Bear : Démasquer un arsenal d'espionnage vieux de plusieurs décennies

La tristement célèbre menace persistante avancée (APT) parrainée par l'État et liée à la Russie reste active et constitue une grave menace pour les organisations. Logpoint a analysé les tactiques, techniques et procédures (TTP) pour aider les organisations à détecter l'acteur de la menace.

À propos de nous

Logpoint permet aux organisations de convertir les données en informations exploitables, améliorant ainsi leur posture de cybersécurité et générant une valeur ajoutée immédiate. Nos technologies avancées de SIEM, d’UEBA, d’automatisation et de réponse aux incidents, couplées à un modèle de licence simple et un service de support leader sur le marché, permettent à nos clients de construire, gérer et transformer efficacement leurs activités.

Logpoint France

104 Avenue Albert 1er
92500 Paris
France

Visiter nos autres Newsroom