Threat Intelligence

Cactus

Cactus verschlüsselt sich selbst, um unentdeckt zu bleiben – und steigt über ungepatchte VPNs ein.

Kurz erklärt

Cactus ist eine seit 2023 aktive Ransomware-Gruppe, die bekannt dafür ist, ihre eigene Schadsoftware zu verschlüsseln, um der Erkennung durch Antivirus zu entgehen. Der Einstieg erfolgt häufig über Schwachstellen in VPN-Appliances; anschließend Datendiebstahl und Verschlüsselung.

Typ

Ransomware

Status

Aktiv – seit 2023 (Stand: Juli 2026)

Motivation

Finanziell

Typische Ziele

Mittelstand und größere Unternehmen branchenübergreifend

Taktiken

Exploit von VPN-Schwachstellen, selbstverschlüsselnde Payload zur AV-Umgehung, Double Extortion

Risiko-Einschätzung

Hoch – für Organisationen mit exponierten, ungepatchten VPNs

Was Unternehmen jetzt prüfen sollten

  • VPN-/Firewall-Appliances aktuell halten – bekannte CVEs werden ausgenutzt
  • Verhaltensbasierte EDR statt reiner Signatur-AV
  • MFA auf allen Fernzugängen
  • Segmentierung und Offline-Backups

Wie Argos unterstützt

Vulnerability- und Angriffsflächen-Management schließt VPN-Lücken; verhaltensbasierte Erkennung im Cyber Defense Center fängt die AV-Umgehung ab.