Microsoft avertizează cu privire la atacurile cu ransomware-ul CACTUS

Microsoft a avertizat cu privire la un nou val de atacuri cu ransomware-ul CACTUS. Sunt folosite atacuri de tip malvertising pentru a implementa DanaBot ca vector de acces inițial.

DanaBot, este un instrument multifuncțional asemănător Emotet, TrickBot, QakBot și IcedID, capabil să acționeze ca stealer și un punct de acces pentru payload-urile din etapa următoare.

UNC2198 a infectat sisteme cu IcedID pentru a implementa familii de ransomware precum Maze și Egregor, potrivit Mandiant în februarie 2021.

Actuala campanie Danabot, observată pentru prima dată în noiembrie 2023, utilizeează o versiune privată a malware-ului.

Malware-ul obține credențiale de acces care sunt transmise către un server controlat de atacator, următorul pas va fi lateral movement prin încercări de conectare RDP și, în cele din urmă, predarea accesului către Storm-0216.

Urmează descoperirea unei noi variante de ransomware pentru macOS, denumită Turtle, care este scrisă în limbajul de programare Go și este semnată cu o semnătură adhoc, împiedicând astfel executarea acesteia la lansare datorită Gatekeeper.

Sursa: https://thehackernews.com/2023/12/microsoft-warns-of-malvertising-scheme.html