A kiberbiztonsági szakértők azonosították az új Cactus ransomware, és az álcázás mestere. Ezt egyedülálló módon teszi, így még a megnövelt víruskereső szoftvercsomagok sem veszik észre a létezését. Ez elég ijesztően hangzik, mert bárkinek megtörténhet ez a vírus a rendszerén, miközben víruskereső szoftver fut.
Az új rosszindulatú program számos módon hajtja végre magát, ahogyan azt egyes kiberbiztonsági szakértők azonosították. Egyik végrehajtási módja magában foglalja, hogy elrejti magát minden olyan vírusirtó szoftver elől, amely elérhető lehet a felhasználó rendszerén. A vírusirtó és a végpont-biztonsági megoldások gyengeségére hivatkozik, hogy jól láthatóan elrejtse magát.
A zsarolóvírussal kapcsolatos információkat a Kroll munkatársai szolgáltatták. A cég kockázati és pénzügyi tanácsadói megoldásokkal foglalkozó csapata képes volt észlelni ezt a rosszindulatú programot, és a nyilvánosság elé tárni. Itt van minden, amit tudnia kell erről az álcázott rosszindulatú programról, amely azt reméli, hogy váltságdíjért visszatartja fájljait.
A kiberbiztonság világában az álcázás új mestere a Cactus ransomware
A új Cactus ransomware három fő módot kínál arra, hogy egy rendszerben végrehajtsa magát. Ebben a cikkben a fő hangsúly csak az egyik módja lesz a rendszeren való végrehajtásnak. Ezzel a végrehajtási módszerrel a Cactus ransomware-t még a vírusirtó szoftvercsomagok sem észlelik.
Ha ismeri a víruskereső szoftvereket és a végpontok biztonsági megoldásait, akkor tudja, hogy nem tudják olvasni a titkosított fájlokat. Nos, az egyik módja annak, hogy az új Cactus ransomware végrehajtja magát a rendszerben, a titkosítás. Az AES-kulcs használatával egy rossz szereplő telepítheti ezt a zsarolóprogramot egy rendszerbe, ahol az titkosított fájlként fog létezni.
A kiberbiztonsági szakértők megértették, hogyan működik ez a zsarolóprogram. Minden azzal kezdődik, hogy a rossz szereplők egyedi AES-kulccsal látják el ezt a ransomware-t, amelyhez szintén hozzáférnek. Az AES kulccsal a zsarolóprogram konfigurációs fájlja és nyilvános RSA-kulcsa visszafejthető.
Ezt követően a rossz szereplő titkosíthatja a rosszindulatú programfájlt, majd továbbíthatja a célpontnak. Ezek HEX karakterláncként fognak eljutni a célpont rendszerébe, amely a rossz szereplő binárisában van bekódolva. Miután a rosszindulatú program bejutott a célpont rendszerébe, a rossz szereplő dekódolja a HEX karakterláncot.
Ez hozzáférést biztosít számukra a felhasználó adataihoz, amelyeket aztán az AES kulccsal érhetnek el. A teljes titkosítási folyamat megnehezíti a Cactus ransomware észlelését. Könnyen előfordulhat a rendszeren, károkat okozva, miközben a telepített víruskereső vagy végponti biztonsági megoldás figyelmen kívül hagyja.
A Cactus ransomware az álcázás mestere, és jól láthatóan elrejtőzik. De ennek a rosszindulatú programnak két másik módja is van a célpont számítógépes rendszerén való végrehajtásra. A titkosítás és egy másik módszer együttes végrehajtása halálosabbá teszi ezt a kártevőt. További kutatások és munkák szükségesek ahhoz, hogy jobban megértsük ezt a zsarolóvírust, és hogyan lehet megelőzni a támadásait.
