Cactus Ransomware (Actualización)

Publicado hace 1 mes 13-03-2025

Cactus es un grupo de ransomware que ha estado presente en la escena cibercriminal durante un tiempo. Surgió en 2023 y desde entonces, ha mantenido una actividad constante y creciente, alcanzando un total de 235 víctimas hasta la fecha. Aunque no es uno de los grupos más grandes, su persistencia lo convierte en una amenaza significativa. En febrero de 2025, el grupo experimentó un repunte, afectando a 33 nuevas víctimas, lo que le permitió posicionarse como el séptimo ransomware más activo del mes. 

En sus inicios, este ransomware se hizo conocido por ganar acceso a través de la explotación de vulnerabilidades, ya sean de VPN, RDP o software. Algunas de las vulnerabilidades explotadas eran las siguientes: 

• CVE-2023-22635 

• CVE-2022-43946 

• CVE-2022-42470 

• CVE-2023-41265 

• CVE-2023-41266 

• CVE-2023-48365 

Cactus, al igual que otros ransomware, utilizan tácticas de doble extorsión, las cuales consisten en exfiltrar la información antes de encriptarla. Gracias a esto, se puede pedir un rescate monetario o, de lo contrario, se procederá a la venta o publicación de la información del cliente. La publicación de la información se lleva a cabo a través de su página de filtraciones. 

Página de filtraciones de Cactus [4] 

Una vez cifrados los archivos, se procede a dejar una nota de rescate con el nombre “cAcTuS.readme.txt”, en la cual se indica cómo recuperar la información. Además, advierten que no se debe interrumpir el proceso de cifrado, ya que los datos podrían corromperse. También utilizan el miedo como factor de presión, advirtiendo que no se debe intentar contactar con las autoridades, o de lo contrario, los datos serán publicados de manera inmediata. Asimismo, dan un plazo de 5 días para establecer contacto; de lo contrario, también procederán a publicar la información. 

cactus-ransom-note

Imagen de la nota de rescate de Cactus [1] 

Recientemente, se ha observado a Cactus y al grupo BlackBasta utilizando los mismos ataques de ingeniería social y el proxy malware BackConnect para irrumpir en redes corporativas. Esto no es una novedad para ambos grupos, pues ya habían compartido herramientas anteriormente, como un script de PowerShell llamado TotalExec, el cual se ha identificado en ataques de ambos grupos. En esta ocasión, el uso de una herramienta y táctica similar sugiere que ambos ransomwares podrían estar colaborando para llevar a cabo sus ataques, además de mejorar su repertorio de herramientas. 

El ataque de ingeniería social mencionado se lleva a cabo a través de Microsoft Teams, donde los actores maliciosos contactan al personal de una empresa haciéndose pasar por el equipo de TI o mesa de ayuda. Esto ocurre después de enviar correos excesivos a la víctima, quien posteriormente es manipulada para descargar Windows Quick Assist, permitiendo así que el atacante obtenga acceso al dispositivo y pueda moverse lateralmente dentro de la red. 

Taxonomía MITTRE ATT&CK:

Tactic 

Technique 

Procedure 

TA0001 

T1190 

Exploit Public-Facing Application 

TA0002 

T1059 

Command and Scripting Interpreter 

T1053.005 

Scheduled Task 

T1072 

Software Deployment Tools 

TA0003 

T1053.005 

Scheduled Task 

T1136 

Create Account 

TA0004 

T1053.005 

Scheduled Task 

TA0005 

T1562.001 

Disable or Modify Tools 

T1027.002 

Software Packing 

T1027 

Obfuscated Files or Information 

TA006 

T1555.003 

Credentials from Web Browsers 

T1003 

OS Credential Dumping 

TA0007 

T1049 

System Network Connections Discovery 

T1087.002 

Domain Account 

T1087 

Account Discovery 

T1018 

Remote System Discovery 

TA0008 

T1021.001 

Remote Desktop Protocol 

T1072 

Software Deployment Tools 

T1570 

Lateral Tool Transfer 

TA0009 

T1119 

Automated Collection 

TA0010 

T1567.002 

Exfiltration to Cloud Storage 

TA0011 

T1219 

Remote Access Software 

T1090 

Proxy 

TA0040 

T1486 

Data Encrypted for Impact 
 

Indicadores de Compromiso:

Tipo 

IOC 

IPv4 

144.172.122.30 

IPv4 

216.107.136.46 

IPv4 

45.61.147.176 

IPv4 

163.123.142.213 

IPv4 

89.185.80.251 

IPv4 

178.236.247.173 

IPv4 

185.190.251.16 

IPv4 

195.123.233.148 

IPv4 

195.123.233.19 

IPv4 

195.123.241.24 

IPv4 

195.211.96.135 

IPv4 

207.90.238.46 

IPv4 

207.90.238.52 

IPv4 

45.128.149.32 

IPv4 

45.8.157.146 

IPv4 

45.8.157.158 

IPv4 

45.8.157.162 

IPv4 

45.8.157.199 

IPv4 

5.181.159.48 

IPv4 

5.181.3.164 

IPv4 

89.185.80.86 

IPv4 

91.90.195.91 

FileHash-SHA256 

b9ef2e948a9b49a6930fc190b22cbdb3571579d37a4de56564e41a2ef736767b 

FileHash-SHA256 

5b70972c72bf8af098350f8a53ec830ddbd5c2c7809c71649c93f32a8a3f1371 

FileHash-SHA256 

3ac8308a7378dfe047eacd393c861d32df34bb47535972eb0a35631ab964d14d 

FileHash-SHA256 

6cb87cad36f56aefcefbe754605c00ac92e640857fd7ca5faab7b9542ef80c96 

FileHash-SHA256 

828e81aa16b2851561fff6d3127663ea2d1d68571f06cbd732fdf5672086924d 

FileHash-SHA256 

90b009b15eb1b5bc4a990ecdd86375fa25eaa67a8515ae6c6b3b58815d46fa82 

FileHash-SHA256 

c52ad663ff29e146de6b7b20d834304202de7120e93a93de1de1cb1d56190bfd 

FileHash-SHA256 

78c16de9fc07f1d0375a093903f86583a4e32037a7da8aa2f90ecb15c4862c17 

FileHash-SHA1 

248795453ceb95e39db633285651f7204813ea3a 

FileHash-SHA1 

6715b888a280d54de9a8482e40444087fd4d5fe8 

FileHash-SHA1 

173f9b0db97097676a028b4b877630adc7281d2f 

FileHash-SHA1 

cb570234349507a204c558fc8c4ecf713e2c0ac3 

FileHash-SHA1 

4709827c7a95012ab970bf651ed5183083366c79 

FileHash-MD5 

848f7edb825813aee4c09c7f2ec71d27 

FileHash-MD5 

1add9766eb649496bc2fa516902a5965 

FileHash-MD5 

2611833c12aa97d3b14d2ed541df06b2 

FileHash-MD5 

5737cb3a9a6d22e957cf747986eeb1b3 

FileHash-MD5 

949d9523269604db26065f002feef9ae 

FileHash-MD5 

de6ce47e28337d28b6d29ff61980b2e9 

FileHash-MD5 

e28db6a65da2ebcf304873c9a5ed086d 

FileHash-MD5 

eba1596272ff695a1219b1380468293a 

FileHash-MD5 

26f3a62d205004fbc9c76330c1c71536 

FileHash-MD5 

3adc612b769a2b1d08b50b1fb5783bcf 

FileHash-MD5 

78aea93137be5f10e9281dd578a3ba73 

FileHash-MD5 

be7b13aee7b510b052d023dd936dc32f 

FileHash-MD5 

d5e5980feb1906d85fbd2a5f2165baf7 

FileHash-MD5 

d9f15227fefb98ba69d98542fbe7e568 

URL 

http://216.107.136.46/Qliksens_update.zip 

URL 

http://216.107.136.46/Qliksens_updated.zip 

URL 

http://216.107.136.46/Qliksens_updated.zip' 

URL 

http://zohoservice.net/anydesk.zip' 

URL 

http://zohoservice.net/putty.zip 

URL 

http://zohoservice.net/qlik-sens-Patch.zip 

URL 

http://zohoservice.net/qlik-sens-nov.zip 

URL 

https://www.praetorian.com/blog/doubleqlik-bypassing-the-original-fix-for-cve-2023-41265/ 

URL 

https://www.praetorian.com/blog/qlik-sense-technical-exploit/ 

domain 

diskanalyzer.com 

domain 

zohoservice.net 

hostname 

www.praetorian.com 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Cluley, G. (2025. marzo 5) Cactus Ransomware: What You Need To Know. Recuperado el 13 de marzoo del 2025 en: https://www.tripwire.com/state-of-security/cactus-ransomware-what-you-need-know 

  2. Abrams, L. (2025, marzo 4) Microsoft Teams tactics, malware connect Black Basta, Cactus ransomware. Recuperado el 13 de marzo del 2025 en: https://www.bleepingcomputer.com/news/security/microsoft-teams-tactics-malware-connect-black-basta-cactus-ransomware/ 

  3. Green, S. Iacono, L. Truman, D. (2023, mayo 10) CACTUS Ransomware: Prickly New Variant Evades Detection. Recuperado el 13 de marzo del 2025 en: https://www.kroll.com/en/insights/publications/cyber/cactus-ransomware-prickly-new-variant-evades-detection 

  4. RANSOMLOOK.IO (s.f.) Cactus Recuperado el 13 de marzo del 2025 en: https://www.ransomlook.io/group/cactus 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Grupo RedGolf
Publicado hace 22 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas......

Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025

Una nueva vulnerabilidad ha sido descubierta por el equipo interno de Fortinet. Esta vulnerabilidad cuenta con un score CVSS de 9.3, siendo clasificada como de carácter crítico. La vulnerabilidad fue ligada al identificador CVE-2024-48887. Esta CVE afecta a diver......

Ransomware NightSpire
Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grand......

BOLETINES RECIENTES

...
Grupo RedGolf
Publicado hace 22 horas 25-04-2025
Leer más
...
Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025
Leer más
...
Ransomware NightSpire
Publicado hace 1 semana 16-04-2025
Leer más