Der Name "Cactus" leitet sich von dem angegebenen Dateinamen cAcTuS.readme.txt und dem Namen in der Lösegeldforderung ab. Bislang ist noch nicht bekannt, wer hinter der neuen Ransomware-Bande steckt. Die Ermittlungen laufen auf Hochtouren. Dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen, macht Cactus laut PSW GROUP im Vergleich zu anderen Ransomware-Varianten dabei besonders gefährlich.

Fortinet-Lücken im Visier

Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet. Über den VPN-Server greifen die Cyberkriminellen auf das Netzwerk zu und führen ein Batch-Script aus, durch das die eigentliche Ransomware geladen wird. Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert. Mithilfe eines speziellen Schlüssels in der Befehlszeile können die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr haben.

Doch damit nicht genug: Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch erhält die Ransomware-Bande ein weiteres Druckmittel (Double Extortion). Denn erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyberkriminellen damit drohen, die erbeuteten Daten zu veröffentlichen.

Speziell zugeschnitten

Cactus hat dabei vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier. Laut verschiedener Berichte sollen die Forderungen bei bisherigen Cactus-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den Cactus-Angriffen betroffen sind, ist noch nicht bekannt – bisher wurden noch keine sensiblen Daten veröffentlicht.
 
"Die Ransomware Cactus ist äußerst gefährlich, da gängige Virenscanner diese aufgrund der verschlüsselten Angriffe nur schwer erkennen können", betont Patrycja Schrenk, Geschäftsführerin der PSW GROUP und ergänzt: "Deshalb ist es umso wichtiger, sich vor Angriffen mit Präventivmaßnahmen zu schützen. Dazu gehört es, Anwendungen und öffentlich zugängliche Systeme stets auf dem neuesten Stand zu halten und Patches umgehend einzuspielen. Auch rate ich, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere PowerShell, zu überwachen und schnell zu reagieren, einen Passwort-Manager zu implementieren sowie eine Zwei-Faktor-Authentifizierung zum Standard zu machen." Ergänzend lohnt sich die regelmäßige Überprüfung der Administrator- und Dienstkonten. Die Erstellung regelmäßiger Backups sollte obligatorisch sein.