Kaygı verici bir gelişme olarak, Cactus fidye yazılımı grubu olarak bilinen nispeten yeni bir fidye yazılımı grubu, yakın zamanda karanlık web sızıntı sitelerine beş yüksek profilli kurban ekledi.
Dünyanın çeşitli bölgelerinden ve çeşitli sektörlerden kurbanlar, gizemli siber tehdidin karmaşık ağında tuzağa düştü.
Etkilenen kuruluşlar arasında Seymours, Groupe Promotrans, MINEMAN Systems, Maxxd Trailers ve Marfrig Global Foods yer alıyor.
Cactus fidye yazılımı grubu, edindikleri varlıkları derhal sergiledi, kurbanlarını açıkça belirledi ve karanlık ağlarında her biri hakkında kısa açıklamalar sağladı. kanal.
Cactus fidye yazılımı grubu birden fazla firmayı hedef alıyor
Kurbanlar listesindeki ilk kişi, bölgede güçlü bir varlığa sahip olan ünlü Surrey emlakçısı Seymours’tur.
Seymours, Ripley, Guildford, Burpham, Woking ve West Byfleet’te stratejik olarak konumlandırılmış altı ofise sahiptir ve bunlardan biri satışa sunulan mülklerin yönetimi ve kiralanmasına adanmıştır.
İkinci kurban Promotrans, Mesleki Eğitim ve koçluk sektöründe faaliyet gösteriyor.
251 ila 500 kişi arasında değişen iş gücü ve 25 milyon ila 50 milyon dolar arasında tahmin edilen gelir akışıyla Promotrans, sektörün önde gelen oyuncularından biridir.
Şirketin genel merkezi Fransa’nın Île-de-France kentindeki hareketli Paris şehrinde bulunmaktadır.
Listedeki aşağıdaki kuruluş olan MAXXD Trailers, 1999 yılında kurulmuş bir Teksaslı şirket olan Maxey Trailers Mfg. Inc.’in bir yan kuruluşu olarak faaliyet göstermektedir.
Tek kişilik bir operasyon olarak başlayan Maxey Trailers, yılda 5.000 treyler üretmekten sorumlu 70 özel kişiyi istihdam ederek önemli ölçüde büyüdü. Erişimleri Amerika Birleşik Devletleri ve Kanada’ya kadar uzanıyor.
Cactus fidye yazılımı grubunun bir diğer kurbanı olan Marfrig Global Foods, JBS’den sonra Brezilya’nın en büyük ikinci gıda işleme şirketidir ve sığır eti ürünlerinin işlenmesinde uzmanlaşmıştır.
Bahsedilen son kurban MINEMAN Systems, madencilik faaliyetlerinden elde edilen konsantrelerin ve metallerin pazarlanmasında önemli bir rol oynuyor.
Cyber Express, bu siber saldırılarla ilgili resmi yanıtlarını veya açıklamalarını almak için etkilenen şirketlere ulaştı.
Ancak bu yazının yazıldığı sırada bu şirketlerden resmi bir yanıt alınamadığı için siber saldırı iddiaları doğrulanamadı.
Cactus fidye yazılımı grubunun işleyiş şekli
Cactus fidye yazılımı grubunun ortaya çıkışı oldukça gizemlidir. Bu yeni tehdit aktörü, gelişmiş taktikleri nedeniyle karanlık web pazarlarında hızla ün kazandı.
CACTUS siber suçlu grubu öncelikle ilk erişim ve arka kapı kurulumu için VPN cihazlarına odaklanıyor.
Şimdiye kadarki saldırılarında, çeşitli sistemlerde sorunsuz bir şekilde manevra yaparak VPN cihazlarındaki bilinen güvenlik açıklarından yararlandılar.
Grubun adı ‘CACTUS’, fidye notunda belirtilen dosya adından ‘cAcTuS.readme.txt’ ve aynı notta kendi beyan ettikleri takma addan geliyor.
Şifrelenmiş dosyalar ‘.cts1’ uzantısıyla işaretlenmiştir, ancak uzantının sonundaki sayının olaylara ve mağdurlara göre değişebileceğini belirtmekte fayda var.
CACTUS’un işleyiş şekli, bir hizmet hesabı kullanarak bir VPN cihazına ilk erişimin sağlanmasını ve ardından komuta ve kontrol (C2) sunucusuna bağlı bir SSH arka kapısının konuşlandırılmasını içerir. Bu arka kapı yürütmesi zamanlanmış bir görev aracılığıyla gerçekleşir.
Ardından tehdit aktörleri, SoftPerfect adlı Avustralyalı bir şirketin ticari Windows ağ tarayıcısını kullanarak kapsamlı bir ağ araştırması yapıyor.
Ağa bağlı bilgisayarları numaralandırmak ve Windows Güvenliği olay günlüğünden kullanıcı hesaplarını çıkarmak için daha fazla PowerShell komutları ve komut dosyaları kullanılır.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.