Bitdefender ha contribuito in un’indagine su un sofisticato attacco ransomware che ha colpito simultaneamente due società separate. I ricercatori hanno identificato il gruppo responsabile come CACTUS. Secondo i ricercatori si tratta di uno dei primi casi documentati di attacco simultaneo contro due aziende distinte con soli pochi minuti di intervallo tra loro.
CACTUS ha sfruttato una vulnerabilità software meno di 24 ore dopo la sua divulgazione pubblica. Dopo aver infiltrato la prima azienda e installato strumenti di accesso remoto e tunnel su vari server, il gruppo ha individuato l’opportunità di estendersi alla seconda azienda, anch’essa parte della stessa organizzazione ma con reti e domini separati.
In un’operazione altamente coordinata, CACTUS ha attaccato le macchine che collegavano le due aziende con precisione millimetrica, a distanza di soli 5 minuti l’una dall’altra. Inoltre, ha paralizzato l’infrastruttura di virtualizzazione, inclusi i controller di dominio e le macchine virtuali, solo 30 minuti dopo l’inizio dell’attacco.
Secondo Bitdefender, l’attacco multi-fase di CACTUS potrebbe diventare uno schema ricorrente, considerando l’alta attività del gruppo. Le principali conclusioni dell’indagine includono:
- CACTUS ha sfruttato una vulnerabilità appena divulgata per accedere alla prima azienda e ha distribuito strumenti di accesso remoto e tunnel sui loro server.
- Nonostante le reti e i domini separati, CACTUS è riuscito a individuare macchine condivise tra le due aziende, grazie alla loro appartenenza alla stessa organizzazione.
- Gli attacchi sono stati eseguiti con un intervallo di cinque minuti tra loro e hanno coinvolto l’estrazione e la crittografia dei dati, oltre a un attacco contro le infrastrutture di virtualizzazione di entrambe le aziende.
- CACTUS ha preso di mira sia Hyper-V che VMware ESXi, espandendo il suo raggio d’azione rispetto agli attacchi precedenti.
Bitdefender consiglia alle aziende di rimanere in stato di allerta, di adottare gli indicatori di compromissione individuati nella ricerca e di implementare tattiche di difesa specifiche. Queste includono l’uso di tecnologie di rilevamento e risposta, il controllo rigoroso degli accessi ai dati e la valutazione e segmentazione delle reti per limitare gli spostamenti non autorizzati.
https://www.bitmat.it/sicurezza/cactus-attacco-ransomware-multi-fase-coordinato/