Cyberkriminelle setzen vermehrt auf opportunistische Ransomware und koordinierte Angriffe auf Unternehmen. Ein aktuelles Beispiel dafür liefert eine forensische Analyse der Bitdefender Labs zu einem Angriff der Ransomware-Gruppe Cactus auf zwei Unternehmen innerhalb einer Unternehmensgruppe. Diese Attacke verdeutlicht die Komplexität und die Dynamik moderner Ransomware-Angriffe.

Cactus: Eine etablierte Ransomware-Gruppe

Cactus ist eine Ransomware-Gruppe, die erstmals im März 2023 auftrat und sich seitdem als bedeutender Akteur etabliert hat. Die Gruppe hat sich durch verschiedene Angriffe, darunter die Kompromittierung von Schneider Electric, einen Namen gemacht.

Konzertierte Aktionen zur Datenexfiltration

Die Attacke von Cactus auf die beiden Unternehmen verlief in mehreren Phasen. Nach der Ausnutzung einer Schwachstelle in Ivanti Sentry erfolgte die Infiltration der Netzwerke, gefolgt von der Installation von Remote-Access-Tools. Trotz getrennter Netzwerke zwischen den beiden Unternehmen gelang es den Angreifern, operativ in beiden Umgebungen zu agieren.

Innerhalb von nur 24 Stunden nach Bekanntgabe der Schwachstelle starteten die Angreifer koordinierte Angriffe auf den ungepatchten Server des Opfers. Sie verschlüsselten Daten auf Endpunkten und virtuellen Maschinen und entfernten die Schutzsoftware von allen Endpunkten.

Lehren für die Abwehr auf Netz- und Endpunktebene

Dieser Angriff verdeutlicht die Notwendigkeit eines konsequenten Patchmanagements und einer mehrschichtigen Sicherheitsstrategie. Unternehmen sollten ihre Netzwerke segmentieren, Zero-Trust-Ansätze implementieren und überlappende Abwehrmechanismen gegen externe Angriffe einsetzen. Zudem ist eine effiziente forensische Analyse sowie die kontinuierliche Überwachung verdächtiger Aktivitäten von entscheidender Bedeutung.