Nos últimos meses, uma operação de ransomware denominada Cactus tem-se destacado ao atacar grandes entidades comerciais, explorando vulnerabilidades em dispositivos VPN para obter acesso inicial às redes dessas organizações. Desde março, essa ameaça tem estado ativa, buscando grandes pagamentos de suas vítimas.
Table of Contents
Toggle
Desencriptado Ransomware CACTUS
O que é o Ransomware Cactus?
O Cactus adotou táticas comuns em ataques de ransomware, como a criptografia de arquivos e o roubo de dados, mas adicionou uma abordagem inovadora para evitar a detecção. Os pesquisadores revelam que o Cactus utiliza uma configuração criptografada para proteger seu binário de ransomware, dificultando sua identificação por parte de ferramentas antivírus e sistemas de monitoramento de rede.
Ransomware CACTUS – Exploração de Vulnerabilidades em VPN Fortinet
O Cactus obtém acesso inicial ao explorar vulnerabilidades conhecidas em dispositivos VPN da marca Fortinet. Os hackers acessam os servidores VPN das vítimas usando uma conta de serviço VPN, uma estratégia que se mostrou eficaz nos incidentes investigados.
Como Funciona o Ransomware CACTUS
Criptografia e Execução Binária do Ransomware Cactus
O que diferencia o Cactus de outras operações é o uso de criptografia para proteger seu binário de ransomware. Usando um script em lote, o ator extrai o binário do cifrador usando o 7-Zip. Em seguida, o binário é implementado com um indicador específico que permite sua execução, um processo considerado incomum pelos pesquisadores, que afirmam que isso dificulta a detecção.
Modos de Execução e Técnicas Específicas do Ransomware Cactus
Destacamos três modos principais de execução, cada um selecionado por meio de uma opção de linha de comandos específica:
- Configuração (-s),
- Leitura de configuração (-r)
- Criptografia (-i).
A chave AES única fornecida pelos invasores, por meio do argumento de linha de comando -i, é crucial para descriptografar o arquivo de configuração do ransomware e a chave pública RSA necessária para criptografar os arquivos.
Ransomware Cactus Multifacetado
A análise de Michael Gillespie, especialista em ransomware, revela que o Cactus utiliza várias extensões para os arquivos-alvo, alterando a extensão para .CTS0 antes da criptografia e .CTS1 após o processo. Gillespie destaca também a existência de um “modo rápido”, semelhante a uma etapa de criptografia leve.
Descriptografia do Ransomware CACTUS – Como um Operon e Nota de Resgate
Desencriptar Ransomware CACTUS – Como um Operon e Nota de Resgate
Táticas Operacionais
Uma vez dentro da rede, o Cactus estabelece acesso persistente por meio de um backdoor SSH e utiliza o scanner de rede SoftPerfect para identificar alvos interessantes. Os pesquisadores observaram o uso de comandos PowerShell para um reconhecimento mais profundo e o emprego de uma variante modificada da ferramenta PSnmap.
Destacamos que, após obterem privilégios elevados em uma máquina, os operadores do Cactus desinstalam produtos antivírus comuns. Além disso, o ransomware rouba dados das vítimas, utilizando a ferramenta Rclone para transferir arquivos diretamente para o armazenamento em nuvem.
Nota de Resgate
Embora não haja informações públicas sobre os resgates exigidos pelo Cactus, as fontes indicam valores na casa dos MILHÕES. Apesar de não criarem um site de vazamento, a ameaça da publicação de dados roubados permanece. Detalhes abrangentes sobre a operação, as vítimas selecionadas e a confiabilidade do descriptografador, se pago, ainda não estão disponíveis.
Caso Real de Desencriptar Ransomware CACTUS
Numa reviravolta inesperada para uma próspera empresa de design gráfico e vídeo, um ataque de ransomware Cactus deixou seus equipamentos infectados e seus arquivos criptografados. Neste caso, destacamos como a nossa equipa se tornou a heroína digital, liderando a carga para descriptografar e libertar a empresa das garras desta ameaça cibernética.
Começa com uma empresa de renome no mundo do design gráfico e vídeo. Num dia, as suas operações são paralisadas quando descobrem que foram vítimas de um ataque de ransomware Cactus. Os arquivos cruciais para o seu trabalho diário estão bloqueados, e os cibercriminosos exigem um resgate significativo para libertar a valiosa informação.
Perante a desesperação, a empresa afetada procura ajuda externa e encontra a LABS 4 Recovery, uma equipa especializada em recuperação de dados e descriptografia de ransomware. A LABS 4 Recovery, conhecida pela sua experiência no campo dos serviços de descriptografia de ransomware, aceita o desafio e embarca na missão de libertar a empresa das garras do Cactus.
A equipa da LABS 4 Recovery inicia a sua operação de descriptografia. Com técnicas avançadas e ferramentas especializadas, exploramos os intrincados códigos do ransomware Cactus. Devido à sensibilidade do caso e por motivos de segurança, o nome da empresa afetada permanece em anonimato durante todo o processo.
A cada minuto crucial, a equipa da LABS 4 Recovery trabalha incansavelmente para desbloquear os arquivos cruciais da empresa de design. Utilizando o seu conhecimento especializado, conseguem descriptografar o ransomware Cactus e libertar a informação vital para as operações comerciais normais.
Finalmente, a LABS 4 Recovery anuncia a vitória digital sobre o ransomware Cactus. A empresa de design gráfico e vídeo recupera o acesso aos seus arquivos, e a ameaça cibernética dissipa-se.
Solicite a Nossa Ajuda Imediata para Desencriptar Ransomware
Não permitas que um ataque de ransomware pare a tua vida e o teu negócio.
Está a um clique de contactar os especialistas que o podem ajudar-te, estamos prontos para recuperar os seus dados e devolver-te a tranquilidade, porque no ADN da LABS 4 Recovery está a ajuda nos casos mais complexos.
Desencriptar Ransomware Cactus Recuperação de Dados Afetados por Ransomware Cactus
Solicita a nossa Ajuda Imediata para Desencriptar Ransomware
Não permitas que um ataque de ransomware pare a tua vida e o teu negócio.
Estás a um clique de entrar em contato com os especialistas que podem ajudar-te, estamos prontos para recuperar seus dados e devolver a tranquilidade
Pré-análise do teu equipamento gratuito, encontramos a melhor solução para ti!
Problemas com Ransomware?
Contacta LABS 4 Recovery
Na LABS 4 Recovery somos especialistas em solucionar vírus informáticos e ataques de ransomware
- Windows bitlocker
- Desencriptação de ransomware
- Passwords Perdidas
- Ataque de vírus
Desencriptação de Máquinas Virtuais afectadas por Ransomware
Desencriptação de Base de Dados afectadas por Ransomware
Temos um grande conhecimento e experiência em trabalhar com projectos e empresas nacionais e internacionais. Contacta-nos para podermos ajudar-te!
Como conseguimos ajudar tantas empresas ao redor do mundo?
Fácil, embora a LABS 4 Recovery seja uma empresa com apenas 4 sedes na Península Ibérica, estamos em crescimento. Contamos com uma rede de técnicos experientes e confiáveis em todo o mundo. Dessa forma, podemos alcançar todas as regiões e auxiliar várias empresas com projetos simultâneos, seja por meio de trabalho remoto ou presencial.
- Desencriptação de Ransomware