"Cactus": Neue Malware verschlüsselt sich gegen Anti-Viren-Software

Eine neue Ransomware geht in großem Stil umher: Wie das Portal Bleeping Computer berichtet, schleust sich seit mindestens März 2023 die "Cactus" genannte Malware in Netzwerke großer Unternehmen ein. Wie üblich stecken Lösegeldforderungen hinter den Angriffen, die den anonymen Quellen des Berichts zufolge in Millionenhöhe liegen sollen. Potenziell seien diese Erpressungen auf das individuelle Opfer zugeschnitten, was gezielte Attacken hinter Cactus vermuten lässt.

Gerade große Firmen mit einer Menge an sensiblen und entsprechend wertvollen Daten sollten Sicherheitsmaßnahmen haben, die einen solchen Malware-Befall verhindern, doch Cactus gelingt es mithilfe einer Vielzahl an Tricks, diese auszuhebeln. Der ursprüngliche Zugriff auf die Server gelingt dabei über bekannte Schwachstellen im VPN-Netzwerk des Entwicklers Fortinet, der eigenen Angaben zufolge mehr als 635.000 Kunden zählt.

Hierüber können die Angreifer auf das jeweilige Firmennetzwerk zugreifen und führen ein Batch-Skript aus, welches die eigentliche Cactus-Ransomware im Anschluss auf die Systeme spielt. Die Malware selbst liegt in Form einer verschlüsselten ZIP-Datei vor, die erst nach dem Download extrahiert und ausgeführt wird. Letzteres geschieht mithilfe eines einzigartigen Schlüssels, der die Konfigurationsdatei entschlüsselt.

Genau darin liegt die zweifelhafte Kunst der Cactus-Malware: Vor der Aktivierung der Ransomware liegt diese nur in verschlüsselter Form vor, sodass Schutzmechanismen oder Anti-Viren-Software nicht in der Lage sind, diese zu erkennen. Welche Firmen vom Cactus-Angriff betroffen sind, ist unklar - zumindest scheinen die sensiblen Daten bisher noch nirgendwo veröffentlicht worden zu sein.