Bitdefender ha pubblicato una nuova ricerca che ha rilevato che il gruppo ransomware CACTUS ha iniziato a lanciare attacchi multi-fase coordinati.
Dopo aver indagato su un attacco ransomware contro un’azienda non sua cliente, Bitdefender ha stabilito che CACTUS ha utilizzato una vulnerabilità del software meno di 24 ore dopo la divulgazione del POC. Dopo essersi infiltrato nella prima azienda e aver impiantato diversi strumenti di accesso remoto e tunnel su vari server, CACTUS ha individuato l’opportunità di spostarsi in un’altra azienda che fa parte della stessa organizzazione della prima azienda, ma che opera in modo completamente indipendente (reti e domini separati).
CACTUS ha scoperto le macchine che collegavano le due aziende e le ha colpite con estrema precisione e coordinazione a distanza di 5 minuti l’una dall’altra, e dopo 30 minuti ha paralizzato l’infrastruttura di virtualizzazione (comprese le macchine virtuali e i controller di dominio).
Bitdefender ritiene che il successo dell’attacco coordinato sarà implementato negli schemi di CACTUS e ripetuto anche prossimamente, poiché sono estremamente attivi.
Principali conclusioni:
- CACTUS ha utilizzato una vulnerabilità meno di 24 ore dopo la divulgazione del POC per ottenere l’accesso alla prima azienda e ha poi distribuito strumenti di accesso remoto e tunnel sui loro server.
- CACTUS ha scoperto che, nonostante le reti e i domini separati, le macchine di un’azienda erano presenti nella rete dell’altra, perché le due società fanno capo alla stessa organizzazione.
- Gli attacchi sono avvenuti a distanza di cinque minuti l’uno dall’altro e hanno incorporato l’esfiltrazione dei dati, la crittografia dei dati e un attacco secondario contro le infrastrutture di virtualizzazione di entrambe le aziende.
- CACTUS ha attaccato sia Hyper-V che VMware ESXi, mentre in precedenza era noto per colpire solo i carichi di lavoro Windows.
Bitdefender invita le aziende a mantenere uno stato di allerta elevato, ad applicare gli Indicatori di Compromissione trovati nella ricerca e a ridurre il rischio che l’attacco abbia successo applicando tattiche di difesa specifiche, tra cui l’impiego di tecnologie di rilevamento e risposta, l’applicazione di un rigoroso controllo degli accessi ai dati, la valutazione e la segmentazione delle reti per limitare gli spostamenti laterali non autorizzati.
