Nhóm Ransomware Cactus: Đe Dọa An Ninh Mạng Hiện Đại

Hoạt động của Nhóm Ransomware Cactus

Nhóm ransomware Cactus, cùng với RansomHub, Play và Medusa, đã được xác định là một mối đe dọa lớn trong lĩnh vực an ninh mạng.

1. Các Tác Nhân Đe Dọa Hoạt Động

• Nhóm ransomware Cactus đã rất tích cực vào tháng 2 năm 2025.

2. Chiến Thuật và Kỹ Thuật

• Cactus:
• Nhắm vào các lỗ hổng trong VPN và tường lửa.
• Sử dụng phần mềm RMM (Quản lý và Giám sát Từ xa) hợp pháp như dwagent và ScreenConnect để duy trì sự tồn tại.
• Tiến hành khảo sát mạng bằng cách sử dụng netscan.
• Triển khai các công cụ Command & Control (C2), chủ yếu là Chisel.
• Phụ thuộc vào các kỹ thuật Living Off the Land (LOTL), bao gồm RDP và SSH.
• Exfiltrate dữ liệu bằng cách sử dụng WinSCP và rClone.
• Có trọng tâm địa lý vào các tổ chức ở Bờ Tây Hoa Kỳ và Canada, với các kỹ thuật xã hội bao gồm gửi email và gọi điện cho nhân viên.
• RansomHub:
• Hoạt động theo mô hình Ransomware-as-a-Service (RaaS).
• Sử dụng một loạt phần mềm RMM hợp pháp, bao gồm AnyDesk, Atera, N-Able, ScreenConnect và Splashtop.
• Khai thác Windows LOLBins (BITSadmin, PSExec) để thực hiện các payload độc hại.
• Exfiltrate dữ liệu qua WinSCP, rClone và PSCP.
• Exfiltrate dữ liệu qua SSH trên cổng 443, làm cho việc phát hiện ngày càng khó khăn.
• Các hành động sau khi exfiltrate bao gồm xóa log, phá hủy bản sao lưu và thực hiện mã hóa ransomware giai đoạn cuối.
• Medusa:
• Có một chuỗi tấn công cấu trúc cho thấy sự tinh vi cao trong việc che dấu dấu vết trước khi triển khai ransomware.
• Các điểm quan trọng bao gồm việc khai thác các lỗ hổng trong VPN và tường lửa, tăng cường việc lạm dụng phần mềm RMM hợp pháp và kỹ thuật xã hội như các vectơ tấn công chính.

3. Biện Pháp Phòng Thủ

• Cập nhật và vá các lỗ hổng trong VPN, tường lửa và phần mềm bảo mật đầu cuối thường xuyên.
• Theo dõi hoạt động RMM để phát hiện việc sử dụng trái phép các công cụ như AnyDesk, ScreenConnect và Splashtop.
• Triển khai Xác thực Đa yếu tố (MFA) để ngăn chặn quyền truy cập không hợp lệ.
• Thực hiện đào tạo nhận thức về phishing để giáo dục nhân viên về cách nhận diện và báo cáo các email đáng ngờ.
• Kích hoạt phân đoạn mạng để hạn chế khả năng di chuyển của kẻ tấn công trong tổ chức.
• Xem xét các công cụ exfiltrate dữ liệu cho việc sử dụng trái phép của WinSCP, rClone và các chuyển giao dựa trên SSH.

4. Ngữ Cảnh Bổ Sung

• Nhóm ransomware Cactus đã liên quan đến việc ăn cắp 1.5 TB dữ liệu từ một công ty năng lượng, cho thấy tác động lớn của nó.
• Nhóm này cũng sử dụng các kỹ thuật xã hội bên cạnh Microsoft Teams và phần mềm truy cập từ xa để triển khai malware BackConnect, cho phép kẻ tấn công thực hiện lệnh từ xa, ăn cắp thông tin xác thực, và exfiltrate dữ liệu tài chính.