Cercetare Bitdefender: atac ransomware coordonat al grupării CACTUS asupra a două companii
March 2024
Bitdefender a investigat un atac coordonat care a vizat două companii diferite din România, în același timp.
Predicțiile specialiștilor în securitate informatică de la Bitdefender privind intensificarea atacurilor ransomware prin exploituri zero-day în 2024 au fost recent confirmate de un astfel de atac coordonat care a vizat două companii diferite din România, în același timp. La solicitarea companiilor, cercetătorii Bitdefender au fost implicați în investigarea acestui atac ransomware.
Atacul lansat de gruparea CACTUS a țintit exploatarea unei vulnerabilități software la mai puțin de 24 de ore după ce a fost dezvăluită. Acest exemplu reprezintă o lecție importantă pentru organizații în ceea ce privește rapiditatea cu care actorii amenințării acționează pentru a exploata noi vulnerabilități. Este din ce în ce mai des întâlnit ca sistemele să fie compromise, dacă demonstrația de executare a unui cod de la distanță rămâne nerezolvată pentru mai mult de 24 de ore.
După infiltrarea în rețeaua primei companii unde au fost implantate o serie de instrumente pe diferite servere pentru a obține acces de la distanță, gruparea CACTUS a identificat o nouă oportunitate de a viza o altă companie. Cele două organizații sunt parte a aceluiași grup de companii, dar funcționează independent una față de cealaltă, cu rețele separate și fără a avea stabilită o relație implicită de încredere.
În momentul lansării atacului, acesta a fost executat la un nivel de precizie foarte înalt. După extragerea datelor, actorii amenințării au blocat datele pe toate stațiile de lucru. Atacurile asupra ambelor companii au provenit de pe servere diferite din rețelele victimelor și au fost lansate la o distanță de cinci minute între ele, urmărind același scenariu.
Atacul nu a fost doar sincronizat, ci a vizat mai multe direcții. După treizeci de minute, a urmat un atac asupra infrastructurii virtualizate, care a dus la criptarea mașinilor virtuale. Deși gruparea CACTUS se axează, în mod tradițional, pe stațiile cu Windows, aceasta și-a extins țintele pentru a include gazdele ESXi și Hyper-V, ceea ce indică un domeniu mai larg de atac.
Cercetătorii Bitdefender au apreciat decizia ambelor companii de a nu plăti cererile de răscumpărare. În schimb, acestea s-au orientat către expertiza specialiștilor Bitdefender pentru a investiga atacul, iar la finalul analizei au fost de acord cu publicarea rezultatelor pentru a veni sprijinul comunității de securitate cibernetică. Cele două companii foloseau soluții de securitate furnizate de către un alt producător.
Recomandări pentru organizații:
Astfel de atacuri cibernetice sincronizate evidențiază o tendință îngrijorătoare de creștere a gradului de sofisticare în rândul actorilor amenințărilor. Aceste atacuri coordonate reprezintă o intensificare a tacticilor utilizate, așteptarea fiind de a întâlni mai multe atacuri ca acesta.
Gestionarea remedierilor: companiile trebuie să prioritizeze remedierile pentru a identifica și repara vulnerabilități critice. Astfel de implementări pot reduce semnificativ suprafața de atac și ameliora riscurile de exploit. Prioritizați abordarea vulnerabilităților cu scoruri CVSS ridicate, în special pentru serverele expuse la internet care pot duce la execuția de cod de la distanță
Segmentarea corectă a rețelei: implementarea unei segmentări adecvate a rețelei și adoptarea unui model de rețea zero trust sunt pași cruciali în îmbunătățirea posturii de securitate. Prin segmentarea rețelei în zone mai mici, mai ușor de gestionat și prin aplicarea unor controale stricte de acces, organizațiile pot limita pot minimiza impactul potențial al unei breșe de securitate.
Apărare stratificată: adoptarea unei abordări de securitate pe mai multe straturi este esențială. Organizațiile ar trebui să investească într-o gamă diversă de controale de securitate, inclusiv segmentarea rețelei și protecția endpoint-urilor pentru a crea straturi de apărare suprapuse împotriva amenințărilor cibernetice.
Detecție și răspuns: capacitățile de detecție și răspuns (EDR/XDR/MDR) au rolul de a minimiza timpul în care actorii amenințărilor rămân nedetectați. Utilizarea soluțiilor avansate de detecție a amenințărilor ajută la identificarea și contracararea tentativelor de obținere a accesului neautorizat sau suspect.
Cercetarea completă poate fi accesată aici: https://www.bitdefender.com/blog/businessinsights/cactus-analyzing-a-coordinated-ransomware-attack-on-corporate-networks/
Business Insights
- Bitdefender Threat Debrief | August 2023
- CTI and Its Frameworks: Unpacking the Diamond Model
- Emerging Cyber Threats and Innovations: Key Highlights from Black Hat 2023
HOTforSecurity
Bitdefender Lab
IoT Insights
