Ransomware Cactus: le sue tecniche avanzate spaventano gli esperti

Un ransomware, noto con il nome di Cactus, sta preoccupando i ricercatori impegnati nel contesto della sicurezza informatica.

L’agente malevolo in questione, attivo dal mese di marzo di quest’anno, non solo ha fatto registrare un numero elevato di infezioni, ma che si è distinto anche per tecniche avanzate che utilizza durante le sue attività.

Rispetto ad altri ransomware simili, infatti, per rendere ancora più difficile il lavoro degli esperti di sicurezza, questo tende a cambiare continuamente le estensioni dei file crittografati.  Cactus, inoltre, divide i file crittografati in microbuffer, rendendo ancora più veloce la gestione degli stessi.

La strategia attuata da questo malware va a sfruttare tattiche, tecniche e procedure (TTPs) avanzate, in grado di mettere in grande difficoltà strumenti di rilevamento e personale impegnato nella difesa dei dispositivi. Il ransomware in questione appare così raffinato al punto da “auto-crittografarsi”, rendendone ancora più difficile l’individuazione. Secondo un rapporto proposto da Logpoint, Cactus riesce a manipolare e creare nuove regole di avviso, il tutto per aumentarne in modo esponenziale il livello di offuscamento.

Cactus è un ransomware che si “auto-crittografa” per evitare il rilevamento

Dal momento della sua apparizione, questa minaccia si è collocata stabilmente nei 10 ransomware più diffusi al mondo. Stando ai dati forniti da NCC, inoltre, il mese di novembre ha visto Cactus occupare la settima posizione di questa classifica.

Una volta infettato il dispositivo, poi, il malware utilizza software come Splashtop o AnyDesk per interagire con il sistema colpito, oltre a ulteriori strumenti, come Chisel, per creare un proxy tra gli host infetti.

Per evitare i danni causati da Cactus, così come da tanti altri ransomware simili, gli esperti consigliano alcune abitudini da mantenere per una corretta “igiene informatica”. Adottare un antivirus in via preventiva, così come evitare il download di allegati e-mail sospetti, possono essere pratiche che riducono drasticamente i potenziali rischi.