CACTUS Ransomware

Els investigadors de ciberseguretat estan advertint sobre una campanya de ransomware CACTUS que capitalitza les vulnerabilitats de seguretat recentment revelades dins de Qlik Sense, una plataforma d'anàlisi i intel·ligència empresarial en núvol. Aquesta campanya representa un desenvolupament destacable, ja que significa el primer cas documentat en què els actors maliciosos que utilitzen el ransomware CACTUS han aprofitat les vulnerabilitats del Qlik Sense com a mètode principal per obtenir accés inicial a entorns específics. Això subratlla l'evolució de les tàctiques emprades pels actors de les amenaces per explotar les debilitats de les plataformes de programari populars per a l'accés no autoritzat i el possible compromís de dades.

El ransomware CACTUS es lliura mitjançant diverses vulnerabilitats del programari

Els analistes de ciberseguretat han identificat una sèrie d'atacs que semblen explotar tres vulnerabilitats revelades que abasten diversos mesos:

• CVE-2023-41265 (puntuació CVSS: 9,9): aquesta vulnerabilitat implica el túnel de sol·licitud HTTP, que permet a un atacant remot elevar els seus privilegis i enviar sol·licituds executades pel servidor de fons que allotja l'aplicació del repositori.
• CVE-2023-41266 (puntuació CVSS: 6,5): una vulnerabilitat de travessa de camins que permet a un atacant remot no autenticat transmetre sol·licituds HTTP a punts finals no autoritzats.
• CVE-2023-48365 (puntuació CVSS: 9,9): una vulnerabilitat d'execució de codi remota no autenticada resultant d'una validació incorrecta de les capçaleres HTTP, que permet a un atacant remot elevar els seus privilegis mitjançant sol·licituds HTTP de túnel.

És important tenir en compte que CVE-2023-48365 és conseqüència d'un pedaç incomplet per a CVE-2023-41265. Ambdues vulnerabilitats, juntament amb CVE-2023-41266, es van revelar a finals d'agost de 2023 i es va implementar una correcció per a CVE-2023-48365 el 20 de setembre de 2023.

En els atacs observats de CACTUS Ransomware, s'aprofiten les vulnerabilitats identificades, donant lloc a un mal ús del servei Qlik Sense Scheduler. Això permet als atacants generar processos dissenyats per descarregar eines addicionals amb l'objectiu d'establir persistència i configurar el control remot.

Les eines addicionals implicades en aquests atacs inclouen ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk i Plink. En particular, s'ha observat que els actors de l'amenaça desinstal·len el programari de Sophos, canvien la contrasenya del compte d'administrador i creen un túnel RDP mitjançant Plink. Les cadenes d'atac finalment donen lloc al desplegament del ransomware CACTUS, i els atacants també utilitzen clons per a l'exfiltració de dades. Aquesta estratègia d'atac integral subratlla la naturalesa sofisticada i multietapa de la campanya CACTUS Ransomware.

Els actors d'amenaça de ransomware estan evolucionant les seves tècniques

L'aparició del CACTUS Ransomware reflecteix la creixent sofisticació del panorama d'amenaces de ransomware. L'economia subterrània ha evolucionat per donar suport als atacs a gran escala mitjançant una xarxa de corredors d'accés inicial i propietaris de botnets. Aquestes entitats revenen l'accés als sistemes de víctimes a múltiples actors afiliats, contribuint a l'expansió de les amenaces de ransomware.

Malgrat els esforços globals dels governs per combatre el ransomware, el model de negoci Ransomware-as-a-Service (RaaS) segueix sent un mètode resistent i rendible per extorsionar diners dels objectius. La longevitat i la rendibilitat d'aquest model persisteixen, permetent als actors de l'amenaça adaptar-se i continuar amb les seves activitats il·lícites.

Un grup de ransomware notable, Black Basta , va entrar en escena l'abril de 2022 i es calcula que va acumular beneficis il·lícits superiors als 107 milions de dòlars en pagaments de rescat de Bitcoin de més de 90 víctimes. Una investigació conjunta recent ha revelat que una part important d'aquests fons es va blanquejar a través de Garantex, un intercanvi de criptomoneda rus sancionat pel govern dels EUA l'abril de 2022 per facilitar les transaccions amb el mercat Hydra Dark Net.

A més, l'anàlisi ha descobert connexions entre Black Basta i l'ara desaparegut grup rus de ciberdelinqüència Conti, que va cessar les seves operacions al mateix temps que l'aparició de Black Basta. A més, s'han identificat vincles amb QakBot , una eina utilitzada per desplegar el ransomware. Aquesta complexa xarxa d'associacions subratlla la naturalesa complexa i interconnectada de les operacions modernes de ransomware.