CACTUS рансъмуер

Изследователите на киберсигурността предупреждават за кампания за рансъмуер CACTUS, която се възползва от новоразкритите уязвимости в сигурността в рамките на Qlik Sense, платформа за облачен анализ и бизнес разузнаване. Тази кампания представлява забележително развитие, тъй като означава първия документиран случай, при който злонамерени участници, използващи CACTUS Ransomware, са използвали уязвимости в Qlik Sense като основен метод за получаване на първоначален достъп до целеви среди. Това подчертава развиващите се тактики, използвани от заплахите, за да използват слабостите в популярните софтуерни платформи за неоторизиран достъп и потенциален компромет с данни.

Рансъмуерът CACTUS се доставя чрез няколко софтуерни уязвимости

Анализаторите на киберсигурността са идентифицирали поредица от атаки, които изглежда използват три разкрити уязвимости, обхващащи няколко месеца:

• CVE-2023-41265 (CVSS резултат: 9.9) – Тази уязвимост включва HTTP Request Tunneling, позволявайки на отдалечен нападател да повиши своите привилегии и да изпрати заявки, изпълнени от бекенд сървъра, хостващ приложението хранилище.
• CVE-2023-41266 (CVSS резултат: 6.5) – Уязвимост при преминаване на пътя, която позволява на неупълномощен, отдалечен нападател да предава HTTP заявки към неоторизирани крайни точки.
• CVE-2023-48365 (CVSS резултат: 9.9) – Уязвимост при неудостоверено, отдалечено изпълнение на код в резултат на неправилно валидиране на HTTP заглавки, което позволява на отдалечен нападател да повиши своите привилегии чрез тунелиране на HTTP заявки.

Важно е да се отбележи, че CVE-2023-48365 е следствие от непълна корекция за CVE-2023-41265. И двете уязвимости, заедно с CVE-2023-41266, бяха разкрити в края на август 2023 г., а корекцията за CVE-2023-48365 беше внедрена на 20 септември 2023 г.

При наблюдаваните атаки на CACTUS Ransomware се използват идентифицираните уязвимости, което води до злоупотреба с услугата Qlik Sense Scheduler. Това позволява на атакуващите да създават процеси, предназначени за изтегляне на допълнителни инструменти с цел установяване на устойчивост и настройка на дистанционно управление.

Допълнителните инструменти, включени в тези атаки, включват ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. По-специално, заплахите са били наблюдавани да деинсталират софтуера на Sophos, да променят паролата на администраторския акаунт и да създават RDP тунел чрез Plink. Веригите от атаки в крайна сметка водят до внедряването на рансъмуера CACTUS, като нападателите също използват клонинги за ексфилтрация на данни. Тази всеобхватна стратегия за атака подчертава сложния и многоетапен характер на кампанията за рансъмуер CACTUS.

Актьорите на заплахите от рансъмуер развиват своите техники

Появата на рансъмуера CACTUS отразява нарастващата сложност на заплахите от рансъмуер. Подземната икономика се е развила, за да поддържа широкомащабни атаки чрез мрежа от брокери за първоначален достъп и собственици на ботнет. Тези субекти препродават достъп до жертвени системи на множество свързани участници, допринасяйки за разширяването на заплахите от ransomware.

Въпреки глобалните усилия на правителствата за борба с ransomware, бизнес моделът Ransomware като услуга (RaaS) остава устойчив и печеливш метод за изнудване на пари от мишени. Дълголетието и рентабилността на този модел продължават да съществуват, което позволява на участниците в заплахата да се адаптират и да продължат своите незаконни дейности.

Една забележителна група за рансъмуер, Black Basta , излезе на сцената през април 2022 г. и се смята, че е натрупала незаконни печалби, надхвърлящи 107 милиона долара в плащания за откуп с биткойн от над 90 жертви. Скорошни съвместни изследвания разкриха, че значителна част от тези средства са били изпрани чрез Garantex, руска борса за криптовалута, санкционирана от правителството на САЩ през април 2022 г. за улесняване на транзакции с пазара Hydra Dark Net.

Освен това анализът разкри връзки между Black Basta и вече несъществуващата руска киберпрестъпна група Conti, която прекрати дейността си приблизително по същото време, когато се появи Black Basta. Освен това са идентифицирани връзки с QakBot , инструмент, използван за внедряване на ransomware. Тази сложна мрежа от асоциации подчертава сложния и взаимосвързан характер на съвременните операции на ransomware.