Cactus 勒索病毒利用 VPN 漏洞攻击大公司

重点提示

• 新的 Cactus 勒索病毒操作正在通过利用 VPN 设备的漏洞，渗透主要商业组织的网络。
• Cactus 勒索病毒采用文件加密和数据外泄手段，采用自加密来增强隐蔽性。
• 使用 7-Zip 保护加密程序，使其更难被检测到，进而逃避防病毒软件和网络监控工具的监测。

自三月以来，根据 ，新的 Cactus 勒索病毒操作已经开始通过利用 渗透主要商业组织的网络。这种勒索病毒通过文件加密与数据外泄的双重策略来施行攻击，但其重点在于通过保护勒索病毒二进制文件进行加密来更好地逃避检测，Kroll的一份报告指出。

通过批处理脚本，Cactus 将加密程序的二进制文件使用 7-Zip 进行保护，接着删除原始的 ZIP存档，并附加特定标志进行二进制文件的分发。威胁演员随后通过加密命令行参数输入独特的 AES 密钥以启动文件加密。

“Cactus 本质上是自我加密，这使得它更难被检测，帮助其逃避防病毒软件和网络监控工具，” Kroll 网络风险管理助理总监 Laurie Iacono 表示。

另外，勒索病毒专家 Michael Gillespie 还注意到，Cactus在针对文件时使用了多种扩展名，这增加了其攻击的复杂性和隐蔽性。这一系列的技术使得 Cactus勒索病毒成为当前网络安全中的一个重要威胁，企业在防御时需提高警惕。