Un nouveau ransomware fait son apparition : cAcTUS
Un nouveau venu dans le monde criminel de l’Internet. Le ransomware cAcTUS est apparu actif au minimum dès le mois de mars 2023, explique Bleeping Computer. La liste s’allonge. Dans la liste des cyberattaques observées, il se procure l’accès en exploitant des vulnérabilités dans les appliances VPN. Ils visent les grandes entités commerciales. Les fichiers chiffrés affichent « .cts1 », bien que selon les analystes de Kroll Cyber Threat Intelligence l’extension varie en fonction des victimes.
Comme chacun des ransomwares, ils recourent au chiffrement des documents et le vol des données pour recevoir une somme certaine d’argent. La principale particularité de ce rançongiciel est l’utilisation d’un chiffrage pour protéger son fichier binaire. L’usage d’un chiffreur est subtil, dans le sens où il est nécessaire d’avoir une clé pour déchiffrer le binaire indispensable à l’exécution du programme malveillant. « La clé est fournie dans un fichier contenant du texte aléatoire nommé ntuser.dat qui est chargé via une tâche planifiée », explique Laurie lacino pour Kroll.
Cactus emploie un chiffrage pour protéger son fichier binaire, ce qui est rare pour ce type de programme malveillant. Les cybercriminels utilisent un script batch pour extraire le binaire du ransomware à l’aide de l’archiveur 7-Zip. L’archive ZIP d’origine est supprimée puis le déploie avec un drapeau spécifique pour l’exécution. L’ensemble du processus est inhabituel et les chercheurs pensent qu’il s’agit d’empêcher la détection de l’encrypteur du ransomware. Au moi de mai, hors mis Cactus, « nous pouvons rajouter BlackSuit ou encore le groupe Ra », martèle ZATAZ.
Ping : Cyberattaques de l’université de Saragosse et de l’école polytechnique de Leiria – Libre Expression
Ping : Le ransomware Play revendique la cyberattaque contre la Fédération Française de Rugby – Libre Expression