En los últimos meses, una operación de ransomware llamada Cactus ha destacado al dirigirse a grandes entidades comerciales, aprovechando vulnerabilidades en dispositivos VPN para obtener acceso inicial a las redes de estas organizaciones. Desde marzo, esta amenaza ha estado activa, buscando grandes pagos de sus víctimas.
Desencriptado Ransomware CACTUS
¿Que es el Ransomware Cactus?
Cactus ha adoptado las tácticas habituales vistas en ataques de ransomware, como la encriptación de archivos y el robo de datos, pero ha agregado un enfoque innovador para evitar la detección. Los investigadores revelan que Cactus utiliza una configuración cifrada para proteger su binario de ransomware, lo que dificulta su identificación por parte de herramientas antivirus y sistemas de monitoreo de red.
Ransomwara CACTUS – Explotación de Vulnerabilidades en VPN Fortinet
Cactus obtiene acceso inicial explotando vulnerabilidades conocidas en dispositivos VPN de la marca Fortinet. Los hackers ingresan a los servidores VPN de las víctimas utilizando una cuenta de servicio VPN, una estrategia que ha demostrado ser efectiva en los incidentes investigados.
Cómo Funciona el Ransomware CACTUS
Encriptación y Ejecución Binaria del Ransomware Cactus
Lo que diferencia a Cactus de otras operaciones es el uso de encriptación para proteger su binario de ransomware. Utilizando un script por lotes, el actor extrae el binario del cifrador usando 7-Zip. Luego, el binario se implementa con un indicador específico que permite su ejecución, un proceso considerado inusual por los investigadores, quienes afirman que esto dificulta la detección.
Modos de Ejecución y Técnicas Específicas del Ransomware Cactus
Destacamos tres modos principales de ejecución, cada uno seleccionado a través de una opción de línea de comandos específica:
- Configuración (-s),
- Lectura de configuración (-r)
- Encriptación (-i).
La clave AES única proporcionada por los invasores, a través del argumento de línea de comandos -i, es crucial para desencriptar el archivo de configuración del ransomware y la clave RSA pública necesaria para encriptar los archivos.
Ransomware Cactus Multifacético
El análisis de Michael Gillespie, experto en ransomware, revela que Cactus utiliza múltiples extensiones para los archivos objetivos, cambiando la extensión a .CTS0 antes de la encriptación y .CTS1 después del proceso. Gillespie destaca además la existencia de un «modo rápido», similar a un paso de encriptación liviana.
Desencriptado Ransomware CACTUS – Cómo un operón y Nota de Rescate
Tácticas Operativas
Una vez dentro de la red, Cactus establece acceso persistente a través de un backdoor SSH y utiliza el escáner de red SoftPerfect para identificar objetivos interesantes. Los investigadores observaron el uso de comandos PowerShell para un reconocimiento más profundo y el empleo de una variante modificada de la herramienta PSnmap.
Destacamos que, después de obtener privilegios elevados en una máquina, los operadores de Cactus desinstalan productos antivirus comunes. Además, el ransomware roba datos de las víctimas, utilizando la herramienta Rclone para transferir archivos directamente al almacenamiento en la nube.
Nota de Recate
Aunque no hay información pública sobre los rescates exigidos por Cactus, las fuentes indican valores en MILLONES. A pesar de no crear un sitio de filtración, la amenaza de la publicación de datos robados permanece. Detalles extensos sobre la operación, las víctimas seleccionadas y la confiabilidad del descifrador, si se paga, aún no están disponibles.
Caso Real de Desencriptado Ransomware CACTUS
En un giro inesperado para una próspera empresa de diseño gráfico y vídeo, un ataque de ransomware Cactus dejó sus equipos infectados y sus archivos cifrados. En este caso, destacamos cómo nuestro equipo se convirtió en el héroe digital, liderando la carga para desencriptar y liberar a la empresa de las garras de esta amenaza cibernética.
Comienza con una empresa de renombre en el mundo del diseño gráfico y vídeo. Un día, sus operaciones se ven paralizadas cuando descubren que han caído víctimas de un ataque de ransomware Cactus. Los archivos cruciales para sus trabajo diario están bloqueados, y los ciberdelincuentes exigen un rescate significativo para liberar la valiosa información.
Ante la desesperación, la empresa afectada busca ayuda externa y encuentra a LABS 4 Recovery, un equipo especializado en la recuperación de datos y desencriptado de ransomware. LABS 4 Recovery, conocidos por su experiencia en el campo del servicios de desencriptado de ransomware, aceptan el desafío y se embarcan en la misión de liberar a la empresa de las garras de Cactus.
El equipo de LABS 4 Recovery comienza su operación de desencriptado. Con técnicas avanzadas y herramientas especializadas, exploramos los intrincados códigos del ransomware Cactus. Debido a la sensibilidad del caso y por motivos de seguridad, el nombre de la empresa afectada se mantiene en el anonimato durante todo el proceso.
Con cada minuto crucial, el equipo de LABS 4 Recovery trabaja incansablemente para desbloquear los archivos cruciales de la empresa de diseño. Utilizando su conocimiento experto, logran descifrar el ransomware Cactus y liberar la información vital para las operaciones comerciales normales.
Finalmente, LABS 4 Recovery anuncia la victoria digital sobre el ransomware Cactus. La empresa de diseño gráfico y vídeo recupera el acceso a sus archivos, y la amenaza cibernética se disipa.
Solicita nuestra Ayuda Inmediata para Desencriptar Ransomware
No permitas que un ataque de Ransomware pare tu vida y tu negocio.
Estás a un click de contactar con los expertos que te pueden ayudar, estamos listos para recuperar tus datos y devolverte la tranquilidad, por que en el ADN de LABS 4 Recovery está el ayudar en los casos más complejos.
Desencriptar Ransomware Cactus
Recuperción de Datos Afectados por Ransomware Cactus
¡PRE-ANÁLISIS de forma gratuita y encontramos la mejor solución para ti!
Ponte en contacto con nosotros o pide una cita en nuestra web y nos vemos en persona.
Contacta LABS 4 Recovery En LABS 4 Recovery somos especialistas y expertos en solucionar los virus informáticos
- Windows Bitlocker
- Desencriptado de Ransomware
- Passwords Perdidas
- Contraseñas Olvidadas
- Ataque de virus
- Desencriptado de Ransomware Medusa Locker
- Desencriptado de Ransomware Black Cat
- Desencriptado de Ransomware STOP DJVU
- Desencriptado Ransomware Cactus
Tenemos un gran conocimiento y experiencia de trabajo con proyectos y empresas nacionales e internacionales. Solo contáctanos y vemos como podemos ayudarte!
LABS 4 Recovery es especialista en Recuperar Datos de Ransomware, está en nuestro ADN
Nuestro equipo de profesionales tienen certificaciones y cuentan con más de 10 años de experiencia en la recuperación de datos encriptados por Ransomware, Secuestro de Datos y Borrado de Datos.
¿Cómo logramos ayudar a tantas empresas en todo el mundo?
LABS 4 Recovery es una empresa con 4 sedes en España y Portugal, está en crecimiento, contamos con una red de técnicos experimentados y confiables en todo el mundo. Así podemos llegar a todos los lugares donde hace falta un servicio y ayudar a varias empresas a la vez, en diferentes proyectos simultáneos, tanto en trabajos remotos como presenciales. No nos limita nuestra propia estructura, nos adaptamos rápidamente a las necesidades del cliente.
Otros articulos sobre Ransomware
- ¿Qué es el Ransomware?
- Ransomware en MAC, primer ataque Ransomware en Apple macOS
- Infectado por Ransomware, ¿y ahora qué hacer?
- Como desencriptar el Ransomware MedusaLocker protect6
- Como desencriptar el Ransomware BlackCat
- Ransomware en MAC, primer ataque Ransomware en Apple macOS
