Business
Trending
De beste e-bikes Telenet verhoogt prijzen Windows 10-account Goedkoper laden bij Tesla Windows 12 naar 2025 TechPulse op WhatsApp
  1. Home
  3. Nieuws
  5. Cactus-ransomware maakt zichzelf onzichtbaar voor antivirusprogramma’s
Nieuws
Arthur De Graef

Cactus-ransomware maakt zichzelf onzichtbaar voor antivirusprogramma’s

ransomware
Beeld: © iStock / Just_Super
De Cactus-ransomware slaagt erin zich te verbergen voor antivirusprogramma's door niet alleen het systeem, maar ook zichzelf te versleutelen.

We verwachten van antivirusprogramma’s dat ze onze pc schoon houden en virussen weghouden. In sommige gevallen slaagt een virus er echter in zichzelf zo goed te maskeren dat zelfs de beste antivirussystemen de indringer niet kunnen opsporen. Dat is het geval met de nieuwe Cactus-ransomware, die zichzelf onzichtbaar kan maken voor eender welk detectieprogramma.

Daardoor kunnen gebruikers de Cactus ransomware, die door cybersecurity-onderzoekers van Kroll werd ontdekt, op hun systeem hebben staan zonder dat ze het zelf weten. De onderzoekers konden drie manieren onderscheiden waarop de malware te werk gaat. In eerste instantie geraakt de ransomware binnen langs kwetsbaarheden in de VPN-oplossing van Fortinet.

Versleutelt zichzelf

Een eigenaardigheid aan Cactus, is dat de software in staat is om zichzelf te versleutelen. Dat doet het aan de hand van een batchbestand, waarmee het via 7-Zip een encryptor kan oproepen. Dat maakt het moeilijk voor bestaande antivirusprogramma’s om de ransomware op te sporen. De ransomware kan ontgrendeld worden met een specifieke AES-key, die in principe alleen door de hackers gekend is. Eenmaal dit gebeurt, verzamelt Cactus bestanden op het systeem om ze te versleutelen.

Eenmaal de ransomware in een systeem is binnengeraakt, verspreidt hij zich over het netwerk. Dit gebeurt aan de hand van een SSH-achterdeur. Met allerlei PowerShell-commando’s verkent de ransomware het netwerk om daarna de controle van meerdere systemen over te nemen. Dat doet Cactus met bestaande remote access-oplossingen zoals AnyDesk en Splashtop. Eenmaal binnengedrongen deactiveert en verwijdert Cactus alle geïnstalleerde antivirusoplossingen.

Hoge bedragen

Daarna versleutelt de ransomware niet alleen gegevens, maar laadt hij ze bovendien op naar de cloud. Op die manier kan niet alleen losgeld gevraagd worden voor het ontgrendelen van de data, maar ook voor het niet-verspreiden van de gestolen gegevens. Hoe hoog dat losgeld oploopt is door niemand precies geweten. BleepingComputer verneemt echter van een bron dat de prijzen oplopen tot in de meerdere miljoenen.

De onderzoekers van Kroll stippen aan dat Cactus een vrij uniek ransomwareprogramma is. Niet alleen is het feit dat Cactus zichzelf maskeert met encryptie uniek. Ook de manier waarop data verzameld en vergrendeld worden, lijkt uniek. Een andere ransomwaregroep, BlackBasta genaamd, zou wel gebruik maken van dezelfde tactieken. De kans bestaat dus dat er in de toekomst meer van dit type aanvallen, waarbij de ransomware zichzelf verbergt, voorkomen.

Uitgelicht artikel MacBook Pro LockBit-ransomware richt zich nu ook op Mac-apparaten
Arthur De Graef
Arthur is gepassioneerd door muziek, films en games en linuxgebruiker in zijn vrije tijd. Volgens hem zit achter alles, ook de nieuwste technologie, een verhaal dat hij met plezier uitpluist.

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Trending berichten

Business