Según BleepingComputer, desde marzo sus redes han sido infiltradas por la nueva operación de ransomware Cactus al explotar vulnerabilidades en dispositivos VPN. Tanto el cifrado de archivos como la exfiltración de datos son utilizados por el ransomware Cactus, pero el grupo usó el cifrado para la protección binaria del ransomware para evadir mejor la detección, mostró un informe de Kroll. Después de hacer una copia de seguridad del binario de encriptación con 7-Zip a través de un script por lotes, Cactus elimina el archivo ZIP original y distribuye el binario con un indicador específico para su ejecución. Luego, los actores de amenazas proporcionan una clave AES única a través del argumento de la línea de comandos de cifrado para habilitar el cifrado de archivos. «CACTUS esencialmente se encripta a sí mismo, lo que lo hace más difícil de detectar y lo ayuda a eludir las herramientas antivirus y de monitoreo de red», dijo Laurie Iacono, directora general asociada de Kroll para Cyber Risk. El experto en ransomware Michael Gillespie también señaló a Cactus por usar varias extensiones en archivos específicos.