إن Cactus هو عملية خطف جديدة تم العمل بها منذ مارس على الأقل. تستهدف المجموعة الكيانات التجارية الكبيرة وقد استغلت الثغرات في أجهزة VPN للحصول على الوصول الأولي إلى شبكات الضحايا. يعتقد الباحثون في كرول أن Cactus يستخدم دفعة مخطط للحصول على ملف تشفير باستخدام 7-Zip. يتم تنفيذ الملف الثنائي ثم يتم نشره مع علامة محددة تسمح له بالتنفيذ. ما يميز Cactus عن عمليات الفدية الأخرى هو استخدامها للتشفير لحماية الملف الثنائي للفدية. يساعد التشفير في تجنب البرامج الضارة وأدوات مراقبة الشبكة.
بالاضافة الى ان Cactus يشفر نفسه، مما يجعل من الصعب كشفه. كما يستخدم مهاجمو الأمان مفتاح AES فريدًا لفك تشفير ملف التكوين لبرامج الفدية والمفتاح العام RSA المطلوب لتشفير الملفات. ويتوفر المفتاح كسلسلة HEX مدمجة في ملف التشفير الثنائي. وفك شفرة السلسلة HEX يوفر قطعة من البيانات المشفرة التي تفتح مع المفتاح AES. وتشغيل الملف الثنائي مع المفتاح الصحيح للمعلمة -i (التشفير) يفتح المعلومات ويسمح للبرامج الضارة بالبحث عن الملفات وبدء عملية تشفير متعددة الموضوعات.
الصبار لديه ثلاثة أوضاع رئيسية للتنفيذ: الإعداد (-s) ، وقراءة التكوين (-r) ، والتشفير (-i). وتسمح الخيارات -s و -r للمهاجمين بإعداد الثبات وتخزين البيانات في ملف C:\ProgramData\ntuser.dat يتم قراءته في وقت لاحق من قبل الشفر المشغل باستخدام خيار سطر الأوامر -r. ولكي يكون التشفير ممكنًا، يجب توفير مفتاح AES فريد يعرفه المهاجمون فقط باستخدام خيار سطر الأوامر -i.
اما بالنسبة لتحليل الخبير في برامج الفدية الرقمية مايكل جيليسبي كيف يُشفر البيانات ببرنامج "كاكتس" وأوضح أن البرمجيات الخبيثة تستخدم عدة امتدادات للملفات التي تستهدفها، حسب حالة المعالجة. عند إعداد الملف للتشفير، يغير "كاكتس" امتداده إلى .CTS0. بعد التشفير، ويصبح الامتداد .CTS1. ولدى "كاكتس" أيضًا "الوضع السريع"، وهو شبيه بتمريرة تشفير خفيفة. ويؤدي تشغيل البرمجية الخبيثة في وضعين سريع وعادي على التوالي إلى تشفير نفس الملف مرتين وإضافة امتداد جديد بعد كل عملية (على سبيل المثال، .CTS1.CTS7).
لاحظ كرول أن الرقم في نهاية امتداد .CTS يختلف في عدة حوادث يعزى سببها لبرمجيات الفدية الثعلب. فإن العاملين في هذه التهديدات يسعون للحصول على مدفوعات كبيرة من ضحاياهم، واستخدامهم للتشفير لحماية البرمجية الخبيثة هو تكتيك فريد من نوعه. فإن Cactus هو مثال على الطبيعة المتطورة والمعقدة باستمرار لهجمات الفدية. ومن الضروري الحفاظ على تحديث الأنظمة وتطبيق إجراءات أمنية قوية لحماية أنفسنا من هذه التهديدات.
ليست هناك تعليقات