CACTUS Ransomware

Výzkumníci v oblasti kybernetické bezpečnosti varují před kampaní CACTUS Ransomware, která těží z nově odhalených bezpečnostních zranitelností v rámci Qlik Sense, cloudové analytiky a platformy business intelligence. Tato kampaň představuje pozoruhodný vývoj, protože znamená první zdokumentovaný případ, kdy útočníci využívající CACTUS Ransomware využili zranitelnosti v Qlik Sense jako svou primární metodu k získání počátečního přístupu do cílených prostředí. To podtrhuje vyvíjející se taktiku, kterou používají aktéři hrozeb, aby využili slabiny populárních softwarových platforem pro neoprávněný přístup a potenciální kompromitaci dat.

CACTUS Ransomware je dodáván prostřednictvím několika softwarových chyb zabezpečení

Analytici kybernetické bezpečnosti identifikovali řadu útoků, které podle všeho využívají tři odhalená zranitelnosti trvající několik měsíců:

• CVE-2023-41265 (CVSS skóre: 9,9) – Tato chyba zabezpečení zahrnuje tunelování požadavků HTTP, které umožňuje vzdálenému útočníkovi povýšit svá oprávnění a odesílat požadavky prováděné backendovým serverem, který je hostitelem aplikace úložiště.
• CVE-2023-41266 (CVSS skóre: 6,5) – Chyba zabezpečení procházení cesty, která umožňuje neověřenému vzdálenému útočníkovi přenášet požadavky HTTP na neautorizované koncové body.
• CVE-2023-48365 (CVSS skóre: 9,9) – Chyba zabezpečení při neověřeném vzdáleném spuštění kódu v důsledku nesprávného ověření HTTP hlaviček, která umožňuje vzdálenému útočníkovi zvýšit svá oprávnění prostřednictvím tunelování požadavků HTTP.

Je důležité si uvědomit, že CVE-2023-48365 je důsledkem neúplné opravy pro CVE-2023-41265. Obě chyby zabezpečení, spolu s CVE-2023-41266, byly zveřejněny koncem srpna 2023 a oprava CVE-2023-48365 byla implementována 20. září 2023.

Při pozorovaných útocích CACTUS Ransomware dochází ke zneužití zjištěných zranitelností, což vede ke zneužití služby Qlik Sense Scheduler. To umožňuje útočníkům vytvářet procesy určené ke stažení dalších nástrojů s cílem zajistit stálost a nastavit vzdálené ovládání.

Mezi další nástroje zapojené do těchto útoků patří ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk a Plink. Je pozoruhodné, že aktéři hrozeb byli pozorováni při odinstalaci softwaru Sophos, změně hesla účtu správce a vytvoření tunelu RDP přes Plink. Útočné řetězce nakonec vyústí v nasazení CACTUS Ransomware, přičemž útočníci také využívají klony k exfiltraci dat. Tato komplexní strategie útoku podtrhuje sofistikovanou a vícestupňovou povahu kampaně CACTUS Ransomware.

Aktéři hrozeb ransomwaru vyvíjejí své techniky

Vznik CACTUS Ransomware odráží rostoucí sofistikovanost prostředí ransomwarových hrozeb. Podzemní ekonomika se vyvinula tak, aby podporovala rozsáhlé útoky prostřednictvím sítě zprostředkovatelů počátečního přístupu a vlastníků botnetů. Tyto subjekty dále prodávají přístup k systémům obětí více přidruženým aktérům, čímž přispívají k rozšíření hrozeb ransomwaru.

Navzdory celosvětovému úsilí vlád bojovat proti ransomwaru zůstává obchodní model Ransomware-as-a-Service (RaaS) odolnou a ziskovou metodou pro vymáhání peněz z cílů. Životnost a ziskovost tohoto modelu přetrvává, což umožňuje aktérům ohrožení přizpůsobit se a pokračovat ve svých nezákonných činnostech.

Jedna významná skupina ransomwaru, Black Basta , vstoupila na scénu v dubnu 2022 a odhaduje se, že nashromáždila nezákonné zisky přesahující 107 milionů dolarů v bitcoinových výkupných od více než 90 obětí. Nedávný společný výzkum odhalil, že značná část těchto prostředků byla vyprána prostřednictvím Garantexu, ruské kryptoměnové burzy, která byla v dubnu 2022 schválena americkou vládou za usnadnění transakcí s tržištěm Hydra Dark Net.

Kromě toho analýza odhalila spojení mezi Black Basta a nyní již neexistující ruskou kyberzločineckou skupinou Conti, která ukončila činnost přibližně ve stejnou dobu, kdy se Black Basta objevila. Navíc byly identifikovány vazby na QakBot , nástroj používaný při nasazení ransomwaru. Tato spletitá síť asociací podtrhuje složitou a propojenou povahu moderních ransomwarových operací.