Barracuda full logo

Qui se cache derrière le ransomware Cactus ?

Thèmes:
21 mars 2024
|
Christine Barry

Le groupe de ransomware Cactus ne reçoit pas suffisamment d'attention. Ce groupe de menace n'a pas la longévité de LockBit ni les ressources de Volt Typhoon, mais il tire le meilleur parti de ce qu'il a. Au cours des douze mois qui se sont écoulés depuis les premières attaques de Cactus contre de grandes entités commerciales, cet acteur malveillant est parvenu à attaquer certaines des plus grandes entreprises des États-Unis, d'Italie, du Royaume-Uni, de Suisse et de France.

Qu'est-ce que le ransomware Cactus ?

Le ransomware Cactus attaque des entités commerciales depuis mars 2023, et jusqu'à présent, il affiche un taux de réussite impressionnant d'un point de vue criminel. Dans une étude sur la croissance des ransomwares, le SANS Institute a classé Cactus parmi les acteurs malveillants connaissant la croissance la plus rapide cette année-là. Cette étude a également révélé que 17 % de toutes les attaques par ransomware en 2023 avaient été menées par des groupes qui n'existaient pas en 2022. Cactus constituait l'une des cinq principales menaces de ce nouveau groupe d'acteurs.

Le nom du groupe vient du nom de fichier de la demande de rançon, « cAcTuS.readme.txt ». Les fichiers chiffrés sont renommés avec l'extension .CTSx, où x est un chiffre qui varie selon l'attaque.

Capture d'écran de fichiers chiffrés par le ransomware Cactus, via PCRisk

Capture d'écran de fichiers chiffrés par le ransomware Cactus, via PCRisk

Voici le texte de la demande de rançon :

###

Votre réseau d'entreprise a été compromis et chiffré par Cactus.

N'interrompez pas le processus de chiffrement, n'arrêtez pas et ne redémarrez pas vos machines tant que le chiffrement n'est pas

terminé. Dans le cas contraire, les données pourraient être corrompues.

En plus du chiffrement de l'infrastructure, nous avons téléchargé un grand nombre d'informations confidentielles provenant

de vos systèmes. La publication de ces documents pourrait mettre un terme à vos activités

commerciales, aux contrats avec vos clients et partenaires, et donner lieu à de nombreuses poursuites judiciaires.

Si vous ignorez cet avertissement et si vous ne nous contactez pas, vos données sensibles seront publiées sur notre blog :

###

Le reste du texte a été masqué. Vous pouvez retrouver la demande complète ici.

Cactus est basé sur une opération classique ransomware en tant que service (RaaS) de type double extorsion. Les opérateurs ont démontré leur capacité à lancer de nouvelles attaques très rapidement, notamment en réponse à de nouvelles CVE. Ce groupe représente une menace grandissante qui représente un défi pour les équipes de cybersécurité.

Attaques notables

Cactus a récemment fait la une pour son attaque réussie contre Schneider Electric en janvier 2024. Schneider Electric est une multinationale française qui compte des centaines de bureaux dans le monde, dont plusieurs aux États-Unis.  L'entreprise compte des milliers de clients professionnels et détient une part de marché de 35,7 % dans le secteur de l'énergie. Seule la division Sustainability Business a été compromise dans l'incident, mais cette division compte parmi ses clients Clorox, DHL, DuPont, Hilton, PepsiCo et Walmart. Cactus affirme avoir extrait 1,5 To de données des systèmes de Schneider avant d'avoir lancé le ransomware.

Schneider Electric fait également partie des milliers d'entreprises touchées par la violation de données MOVEit en 2023.

Cactus a fait plusieurs autres victimes au niveau mondial, notamment Marfrig Global Foods et MINEMAN Systems. Les activités de ces deux sociétés ont un impact sur les chaînes logistiques mondiales. Cactus a répertorié plus de 100 victimes sur son site de leaks, mais nous ne savons pas combien d'autres victimes ayant payé une rançon ne figurent pas sur cette liste. 

Caractéristiques

Ce groupe est connu pour s'être introduit dans des réseaux en exploitant des vulnérabilités connues dans les appliances VPN et le logiciel Qlik Sense.  Le groupe mène également des attaques par phishing, il achète des identifiants volés sur des forums criminels et il s'associe à des distributeurs de malwares. Microsoft Threat Intelligence a signalé que l'acteur Storm-0216 avait utilisé des publicités malveillantes et un cheval de Troie à porte dérobée pour déployer le ransomware Cactus. 

Le thread Microsoft sur X contient plus de détails sur cette attaque.

Le ransomware s'appuie sur un ou plusieurs fichiers binaires de chiffrement pour crypter les fichiers d'un système. Ces fichiers binaires sont habituellement exécutés lorsque les criminels ont fini de se renseigner sur la victime, de voler ses données et de faire tout ce qu'ils avaient à faire dans ce système. Le ransomware Cactus est unique dans le sens où il crypte son propre fichier binaire de chiffrement afin que les outils de sécurité ne le reconnaissent pas. Une fois chiffré, le fichier binaire ne peut être lancé que si la clé de déchiffrement est disponible. Ce degré de sophistication exige des victimes potentielles qu'elles utilisent des fonctionnalités de sécurité avancées et qu'elles adoptent une approche multicouche de la détection et de l'atténuation des menaces.

Tout ceci mis à part, le ransomware Cactus n'a rien de si exceptionnel. Le groupe utilise des outils d'analyse prêts à l'emploi pour rechercher les vulnérabilités connues de leurs cibles. Une fois dans un réseau, Cactus utilise la tactique Living-off-the-Land (LotL) pour explorer le système et rester caché. Le groupe utilise Rclone pour l'exfiltration des données, un script PowerShell pour automatiser le processus de chiffrement et des tâches planifiées pour déchiffrer le fichier binaire. Il introduit également une porte dérobée SSH dans le système pour établir la persistance et la communication avec les serveurs de commande et de contrôle (C2). Lorsqu'il est prêt, il utilise le script TotalExec.ps1 pour lancer le chiffrement.

Relations avec d'autres menaces

On ne sait pas grand-chose de Cactus, mais les opérateurs semblent compétents et expérimentés. Le script TotalExec.ps1 utilisé par Cactus était utilisé par le groupe Black Basta en 2022. Les acteurs Black Basta ont été reliés à Conti, BlackMatter et Storm-0216. L'acteur Storm-0216 est le protagoniste de l'attaque par publicités malveillantes mentionnée plus haut.

Les tactiques, techniques et procédures (TTP) de Cactus sont similaires à celles de Magnet Goblin, mais les chercheurs n'ont pas encore confirmé l'existence d'un lien entre ces groupes.

Protégez votre entreprise

Cactus est un acteur intéressant et dangereux parmi les gangs lanceurs de ransomwares. Le chiffrement du fichier binaire et les techniques LotL sont conçus pour le faire passer inaperçu aux yeux de tous les dispositifs de protection contre les menaces, sauf les plus avancés.  

Barracuda offre une protection complète contre les ransomwares et propose l'une des plateformes de cybersécurité les plus complètes du marché. Consultez notre site web pour découvrir comment nous protégeons les e-mails, les réseaux, les applications et les données. 

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.