CACTUS Ransomware

Cybersikkerhedsforskere advarer om en CACTUS Ransomware-kampagne, der udnytter nyligt afslørede sikkerhedssårbarheder i Qlik Sense, en cloud-analyse- og business intelligence-platform. Denne kampagne repræsenterer en bemærkelsesværdig udvikling, da den betegner det første dokumenterede tilfælde, hvor ondsindede aktører, der bruger CACTUS Ransomware, har udnyttet sårbarheder i Qlik Sense som deres primære metode til at få indledende adgang til målrettede miljøer. Dette understreger den udviklende taktik, der anvendes af trusselsaktører til at udnytte svagheder i populære softwareplatforme til uautoriseret adgang og potentielt datakompromittering.

CACTUS Ransomware leveres via flere softwaresårbarheder

Cybersikkerhedsanalytikere har identificeret en række angreb, der ser ud til at udnytte tre afslørede sårbarheder, der strækker sig over flere måneder:

• CVE-2023-41265 (CVSS-score: 9,9) - Denne sårbarhed involverer HTTP Request Tunneling, hvilket gør det muligt for en fjernangriber at hæve deres privilegier og sende anmodninger, der udføres af backend-serveren, der hoster lagerapplikationen.
• CVE-2023-41266 (CVSS-score: 6,5) - En stigennemløbssårbarhed, der tillader en uautoriseret fjernangriber at sende HTTP-anmodninger til uautoriserede slutpunkter.
• CVE-2023-48365 (CVSS-score: 9,9) - En uautoriseret, fjernudførelse af kodesårbarhed som følge af ukorrekt validering af HTTP-headere, hvilket gør det muligt for en fjernangriber at hæve deres privilegier gennem tunneling af HTTP-anmodninger.

Det er vigtigt at bemærke, at CVE-2023-48365 er en konsekvens af en ufuldstændig patch til CVE-2023-41265. Begge sårbarheder blev sammen med CVE-2023-41266 afsløret i slutningen af august 2023, og en rettelse til CVE-2023-48365 blev implementeret den 20. september 2023.

I de observerede CACTUS Ransomware-angreb udnyttes de identificerede sårbarheder, hvilket fører til misbrug af Qlik Sense Scheduler-tjenesten. Dette gør det muligt for angriberne at skabe processer designet til at downloade yderligere værktøjer med det formål at etablere persistens og opsætte fjernbetjening.

De yderligere værktøjer, der er involveret i disse angreb, omfatter ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk og Plink. Især er trusselsaktørerne blevet observeret ved at afinstallere Sophos-software, ændre adgangskoden til administratorkontoen og oprette en RDP-tunnel via Plink. Angrebskæderne resulterer i sidste ende i implementeringen af CACTUS Ransomware, hvor angriberne også bruger kloner til dataeksfiltrering. Denne omfattende angrebsstrategi understreger CACTUS Ransomware-kampagnens sofistikerede og flertrinsmæssige karakter.

Ransomware-trusselaktører udvikler deres teknikker

Fremkomsten af CACTUS Ransomware afspejler den stigende sofistikerede ransomware-trussellandskab. Den underjordiske økonomi har udviklet sig til at understøtte storstilede angreb gennem et netværk af indledende adgangsmæglere og botnet-ejere. Disse enheder videresælger adgang til offersystemer til flere tilknyttede aktører, hvilket bidrager til udvidelsen af ransomware-trusler.

På trods af globale bestræbelser fra regeringer på at bekæmpe ransomware, er Ransomware-as-a-Service (RaaS) forretningsmodellen fortsat en robust og rentabel metode til at afpresse penge fra mål. Denne models levetid og rentabilitet fortsætter, hvilket gør det muligt for trusselsaktører at tilpasse sig og fortsætte deres ulovlige aktiviteter.

En bemærkelsesværdig ransomware-gruppe, Black Basta , kom ind på scenen i april 2022 og anslås at have samlet ulovlige overskud på over 107 millioner dollars i Bitcoin løsepengebetalinger fra over 90 ofre. Nylig fælles forskning har afsløret, at en betydelig del af disse midler blev hvidvasket gennem Garantex, en russisk cryptocurrency-børs, der blev sanktioneret af den amerikanske regering i april 2022 for at lette transaktioner med Hydra Dark Net-markedspladsen.

Desuden har analysen afsløret forbindelser mellem Black Basta og den nu hedengangne russiske cyberkriminalitetsgruppe Conti, som indstillede driften omkring samme tid som Black Bastas opståen. Derudover er bånd til QakBot , et værktøj, der bruges til at implementere ransomware, blevet identificeret. Dette indviklede net af associationer understreger den komplekse og indbyrdes forbundne karakter af moderne ransomware-operationer.