International

Un nouveau ransomware fait son apparition : cAcTUS

Un nouveau venu dans le monde criminel de l’Internet. Le ransomware cAcTUS est apparu actif au minimum dès le mois de mars 2023, explique Bleeping Computer. La liste s’allonge. Dans la liste des cyberattaques observées, il se procure l’accès en exploitant des vulnérabilités dans les appliances VPN. Ils visent les grandes entités commerciales. Les fichiers chiffrés affichent « .cts1 », bien que selon les analystes de Kroll Cyber Threat Intelligence l’extension varie en fonction des victimes.

Comme chacun des ransomwares, ils recourent au chiffrement des documents et le vol des données pour recevoir une somme certaine d’argent. La principale particularité de ce rançongiciel est l’utilisation d’un chiffrage pour protéger son fichier binaire. L’usage d’un chiffreur est subtil, dans le sens où il est nécessaire d’avoir une clé pour déchiffrer le binaire indispensable à l’exécution du programme malveillant. « La clé est fournie dans un fichier contenant du texte aléatoire nommé ntuser.dat qui est chargé via une tâche planifiée », explique Laurie lacino pour Kroll.

Le nom « cAcTUS » est dérivé du nom de fichier fourni dans la demande de rançon, « cAcTuS.readme.txt », et de l’auto-déclaration de nom dans la note de rançon elle-même, mentionne l’équipe de chercheurs dans l’étude. (Crédits : svklimkin/Pixabay)

Cactus emploie un chiffrage pour protéger son fichier binaire, ce qui est rare pour ce type de programme malveillant. Les cybercriminels utilisent un script batch pour extraire le binaire du ransomware à l’aide de l’archiveur 7-Zip. L’archive ZIP d’origine est supprimée puis le déploie avec un drapeau spécifique pour l’exécution. L’ensemble du processus est inhabituel et les chercheurs pensent qu’il s’agit d’empêcher la détection de l’encrypteur du ransomware. Au moi de mai, hors mis Cactus, « nous pouvons rajouter BlackSuit ou encore le groupe Ra », martèle ZATAZ.

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

2 thoughts on “Un nouveau ransomware fait son apparition : cAcTUS

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *