CACTUS الفدية

يحذر باحثو الأمن السيبراني من حملة CACTUS Ransomware التي تستغل الثغرات الأمنية التي تم الكشف عنها حديثًا داخل Qlik Sense، وهي منصة للتحليلات السحابية وذكاء الأعمال. تمثل هذه الحملة تطورًا جديرًا بالملاحظة لأنها تشير إلى أول حالة موثقة حيث قامت الجهات الفاعلة الخبيثة التي تستخدم CACTUS Ransomware بالاستفادة من الثغرات الأمنية في Qlik Sense كطريقة أساسية للوصول الأولي إلى البيئات المستهدفة. وهذا يسلط الضوء على التكتيكات المتطورة التي تستخدمها الجهات الفاعلة في مجال التهديد لاستغلال نقاط الضعف في منصات البرامج الشائعة للوصول غير المصرح به واحتمال تعرض البيانات للخطر.

يتم تسليم CACTUS Ransomware عبر العديد من نقاط الضعف في البرامج

حدد محللو الأمن السيبراني سلسلة من الهجمات التي يبدو أنها تستغل ثلاث نقاط ضعف تم الكشف عنها تمتد لعدة أشهر:

• CVE-2023-41265 (درجة CVSS: 9.9) - تتضمن هذه الثغرة الأمنية نفق طلب HTTP، مما يمكّن المهاجم عن بعد من رفع امتيازاته وإرسال الطلبات التي ينفذها خادم الواجهة الخلفية الذي يستضيف تطبيق المستودع.
• CVE-2023-41266 (درجة CVSS: 6.5) - ثغرة أمنية في اجتياز المسار تسمح لمهاجم بعيد غير مصادق عليه بإرسال طلبات HTTP إلى نقاط نهاية غير مصرح بها.
• CVE-2023-48365 (CVSS Score: 9.9) - ثغرة أمنية غير مصادق عليها في تنفيذ التعليمات البرمجية عن بعد ناتجة عن التحقق غير الصحيح من رؤوس HTTP، مما يسمح للمهاجم عن بعد برفع امتيازاته من خلال توجيه طلبات HTTP.

من المهم ملاحظة أن CVE-2023-48365 هو نتيجة تصحيح غير كامل لـ CVE-2023-41265. تم الكشف عن كلا الثغرات الأمنية، إلى جانب CVE-2023-41266، في أواخر أغسطس 2023، وتم تنفيذ إصلاح CVE-2023-48365 في 20 سبتمبر 2023.

في هجمات CACTUS Ransomware التي تمت ملاحظتها، تم استغلال نقاط الضعف التي تم تحديدها، مما أدى إلى إساءة استخدام خدمة Qlik Sense المجدولة. يتيح ذلك للمهاجمين إنتاج عمليات مصممة لتنزيل أدوات إضافية بهدف تحقيق الثبات وإعداد التحكم عن بعد.

تشمل الأدوات الإضافية المشاركة في هذه الهجمات ManageEngine Unified Endpoint Management and Security (UEMS) وAnyDesk وPlink. والجدير بالذكر أن الجهات الفاعلة في مجال التهديد قد لوحظت وهي تقوم بإلغاء تثبيت برنامج Sophos، وتغيير كلمة مرور حساب المسؤول، وإنشاء نفق RDP عبر Plink. تؤدي سلاسل الهجوم في النهاية إلى نشر برنامج CACTUS Ransomware، حيث يستخدم المهاجمون أيضًا النسخ المستنسخة لتسرب البيانات. تؤكد استراتيجية الهجوم الشاملة هذه على الطبيعة المعقدة والمتعددة المراحل لحملة CACTUS Ransomware.

الجهات الفاعلة في مجال تهديد برامج الفدية تعمل على تطوير تقنياتها

يعكس ظهور CACTUS Ransomware التطور المتزايد في مشهد تهديدات برامج الفدية. لقد تطور الاقتصاد السري لدعم الهجمات واسعة النطاق من خلال شبكة من وسطاء الوصول الأولي وأصحاب شبكات الروبوت. وتقوم هذه الكيانات بإعادة بيع إمكانية الوصول إلى أنظمة الضحايا إلى جهات فاعلة تابعة متعددة، مما يساهم في توسيع تهديدات برامج الفدية.

على الرغم من الجهود العالمية التي تبذلها الحكومات لمكافحة برامج الفدية، يظل نموذج أعمال برامج الفدية كخدمة (RaaS) وسيلة مرنة ومربحة لابتزاز الأموال من الأهداف. ويستمر طول عمر هذا النموذج وربحيته، مما يسمح للجهات الفاعلة في مجال التهديد بالتكيف ومواصلة أنشطتها غير المشروعة.

دخلت إحدى مجموعات برامج الفدية البارزة، Black Basta ، إلى المشهد في أبريل 2022 ويقدر أنها جمعت أرباحًا غير مشروعة تتجاوز 107 ملايين دولار من مدفوعات فدية البيتكوين من أكثر من 90 ضحية. كشفت الأبحاث المشتركة الأخيرة أن جزءًا كبيرًا من هذه الأموال تم غسله من خلال Garantex، وهي بورصة عملات مشفرة روسية فرضت عليها حكومة الولايات المتحدة عقوبات في أبريل 2022 لتسهيل المعاملات مع سوق Hydra Dark Net.

علاوة على ذلك، كشف التحليل عن اتصالات بين Black Basta ومجموعة الجرائم الإلكترونية الروسية التي انتهت صلاحيتها الآن، Conti، والتي توقفت عن العمل في نفس الوقت تقريبًا مع ظهور Black Basta. بالإضافة إلى ذلك، تم التعرف على العلاقات مع QakBot ، وهي الأداة المستخدمة في نشر برامج الفدية. تؤكد هذه الشبكة المعقدة من الارتباطات على الطبيعة المعقدة والمترابطة لعمليات برامج الفدية الحديثة.