Uma nova variante  do ransomware CACTUS, se aproveita de falhas conhecidas em dispositivos VPN para obter acesso inicial a redes de destino.

Uma vez dentro da rede, os atores do CACTUS tentam enumerar contas de usuários locais e de rede, além de endpoints acessíveis.

O ransomware foi observado visando grandes entidades comerciais desde março de 2023, com ataques empregando táticas de dupla extorsão para roubar dados confidenciais antes da criptografia. Nenhum site de vazamento de dados foi identificado até o momento.

O CACTUS essencialmente criptografa a si mesmo, dificultando a detecção e escapando das ferramentas antivírus e de monitoramento de rede.

Embora seus operadores usem ferramentas e recursos que estão prontamente disponíveis, eles conseguiram usá-los de forma a aprimorar os recursos tornando-o mais furtivo e mais difícil de analisar.