Các nhà nghiên cứu của công ty tư vấn rủi ro và điều tra doanh nghiệp Kroll (Mỹ) cho biết: "Khi ở trong mạng, CACTUS cố gắng liệt kê các tài khoản người dùng và thiết bị mạng đầu cuối có thể truy cập trước khi tạo tài khoản người dùng mới, sau đó tận dụng các tập lệnh tùy chỉnh để tự động triển khai và kích hoạt bộ mã hóa ransomware thông qua các tác vụ theo lịch trình". Sau khi khai thác thành công các thiết bị VPN dễ bị tổn thương, một cửa hậu SSH được thiết lập để duy trì quyền truy cập liên tục và một loạt các lệnh PowerShell được thực thi để tiến hành quét mạng và xác định danh sách các máy để mã hóa.
Một khía cạnh mới của CACTUS là việc sử dụng tập lệnh để trích xuất mã nhị phân ransomware bằng 7-Zip, sau đó xóa tệp lưu trữ .7z trước khi thực thi. CACTUS có thể tự mã hóa, khiến nó khó bị phát hiện hơn và giúp trốn tránh các công cụ giám sát mạng và chống virus.
Công ty phần mềm an ninh mạng Trend Micro (Nhật Bản) nhận định: "Biến thể ransomware mới có tên CACTUS tận dụng lỗ hổng trong thiết bị VPN, cho thấy các tác nhân đe dọa tiếp tục nhắm mục tiêu vào các dịch vụ truy cập từ xa và các lỗ hổng chưa được vá để tiến hành truy cập". Nhận định này được đưa ra vài ngày sau khi Trend Micro làm sáng tỏ một loại ransomware khác có tên là Rapture có một số điểm tương đồng. CACTUS và Rapture là những cái tên mới nhất bổ sung vào danh sách dài các họ ransomware mới được đưa ra ánh sáng trong thời gian gần đây, bao gồm Gazprom , BlackBit , UNIZA , Akira và một biến thể ransomware NoCry có tên là Kadavro Vector.
