CACTUS: attacco ransomware multi-fase coordinato. La ricerca di Bitdefender
February 2024
Si tratta di uno dei primi casi documentati di attacco simultaneo contro due aziende distinte a pochi minuti di distanza l'una dall'altra
Bitdefender ha pubblicato una nuova ricerca che ha rilevato che il gruppo ransomware CACTUS ha iniziato a lanciare attacchi multi-fase coordinati.
Dopo aver indagato su un attacco ransomware contro un’azienda non sua cliente, Bitdefender ha stabilito che CACTUS ha utilizzato una vulnerabilità del software meno di 24 ore dopo la divulgazione del POC. Dopo essersi infiltrato nella prima azienda e aver impiantato diversi strumenti di accesso remoto e tunnel su vari server, CACTUS ha individuato l'opportunità di spostarsi in un'altra azienda che fa parte della stessa organizzazione della prima azienda, ma che opera in modo completamente indipendente (reti e domini separati).
CACTUS ha scoperto le macchine che collegavano le due aziende e le ha colpite con estrema precisione e coordinazione a distanza di 5 minuti l'una dall'altra, e dopo 30 minuti ha paralizzato l'infrastruttura di virtualizzazione (comprese le macchine virtuali e i controller di dominio).
Bitdefender ritiene che il successo dell'attacco coordinato sarà implementato negli schemi di CACTUS e ripetuto anche prossimamente, poiché sono estremamente attivi.
Principali conclusioni:
Bitdefender invita le aziende a mantenere uno stato di allerta elevato, ad applicare gli Indicatori di Compromissione trovati nella ricerca e a ridurre il rischio che l’attacco abbia successo applicando tattiche di difesa specifiche, tra cui l'impiego di tecnologie di rilevamento e risposta, l'applicazione di un rigoroso controllo degli accessi ai dati, la valutazione e la segmentazione delle reti per limitare gli spostamenti laterali non autorizzati.
La ricerca è disponibile qui.