CACTUS Ransomware

Οι ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποιούν για μια καμπάνια CACTUS Ransomware που αξιοποιεί τις ευπάθειες ασφαλείας που αποκαλύφθηκαν πρόσφατα στο Qlik Sense, μια πλατφόρμα ανάλυσης cloud και επιχειρηματικής ευφυΐας. Αυτή η καμπάνια αντιπροσωπεύει μια αξιοσημείωτη εξέλιξη, καθώς υποδηλώνει την πρώτη τεκμηριωμένη περίπτωση όπου κακόβουλοι παράγοντες που χρησιμοποιούν το CACTUS Ransomware έχουν αξιοποιήσει ευπάθειες στο Qlik Sense ως την κύρια μέθοδο τους για να αποκτήσουν αρχική πρόσβαση σε στοχευμένα περιβάλλοντα. Αυτό υπογραμμίζει τις εξελισσόμενες τακτικές που εφαρμόζουν οι φορείς απειλών για την εκμετάλλευση των αδυναμιών σε δημοφιλείς πλατφόρμες λογισμικού για μη εξουσιοδοτημένη πρόσβαση και πιθανή παραβίαση δεδομένων.

Το CACTUS Ransomware παραδίδεται μέσω πολλών ευπαθειών λογισμικού

Οι αναλυτές κυβερνοασφάλειας εντόπισαν μια σειρά επιθέσεων που φαίνεται να εκμεταλλεύονται τρεις αποκαλυπτόμενες ευπάθειες που εκτείνονται σε αρκετούς μήνες:

• CVE-2023-41265 (βαθμολογία CVSS: 9,9) - Αυτή η ευπάθεια περιλαμβάνει τη διοχέτευση αιτήματος HTTP, που επιτρέπει σε έναν απομακρυσμένο εισβολέα να ανυψώσει τα προνόμιά του και να στείλει αιτήματα που εκτελούνται από τον διακομιστή υποστήριξης που φιλοξενεί την εφαρμογή αποθετηρίου.
• CVE-2023-41266 (βαθμολογία CVSS: 6,5) - Μια ευπάθεια διέλευσης διαδρομής που επιτρέπει σε έναν μη επαληθευμένο, απομακρυσμένο εισβολέα να μεταδίδει αιτήματα HTTP σε μη εξουσιοδοτημένα τελικά σημεία.
• CVE-2023-48365 (βαθμολογία CVSS: 9,9) - Μια ευπάθεια χωρίς έλεγχο ταυτότητας, απομακρυσμένης εκτέλεσης κώδικα που προκύπτει από ακατάλληλη επικύρωση των κεφαλίδων HTTP, επιτρέποντας σε έναν απομακρυσμένο εισβολέα να αυξήσει τα προνόμιά του μέσω αιτημάτων HTTP διοχέτευσης σήραγγας.

Είναι σημαντικό να σημειωθεί ότι το CVE-2023-48365 είναι συνέπεια μιας ελλιπούς ενημέρωσης κώδικα για το CVE-2023-41265. Και τα δύο τρωτά σημεία, μαζί με το CVE-2023-41266, αποκαλύφθηκαν στα τέλη Αυγούστου 2023 και μια επιδιόρθωση για το CVE-2023-48365 εφαρμόστηκε στις 20 Σεπτεμβρίου 2023.

Στις παρατηρούμενες επιθέσεις CACTUS Ransomware, τα εντοπισμένα τρωτά σημεία γίνονται αντικείμενο εκμετάλλευσης, οδηγώντας σε κακή χρήση της υπηρεσίας Qlik Sense Scheduler. Αυτό δίνει τη δυνατότητα στους εισβολείς να δημιουργήσουν διεργασίες που έχουν σχεδιαστεί για τη λήψη πρόσθετων εργαλείων με στόχο τη δημιουργία επιμονής και τη ρύθμιση του τηλεχειριστηρίου.

Τα πρόσθετα εργαλεία που εμπλέκονται σε αυτές τις επιθέσεις περιλαμβάνουν το ManageEngine Unified Endpoint Management and Security (UEMS), το AnyDesk και το Plink. Σημειωτέον, οι παράγοντες απειλής έχουν παρατηρηθεί να απεγκαθιστούν το λογισμικό Sophos, να αλλάζουν τον κωδικό πρόσβασης του λογαριασμού διαχειριστή και να δημιουργούν μια σήραγγα RDP μέσω του Plink. Οι αλυσίδες επίθεσης καταλήγουν τελικά στην ανάπτυξη του CACTUS Ransomware, με τους εισβολείς να χρησιμοποιούν επίσης κλώνους για την εξαγωγή δεδομένων. Αυτή η ολοκληρωμένη στρατηγική επίθεσης υπογραμμίζει την εξελιγμένη και πολυεπίπεδη φύση της καμπάνιας CACTUS Ransomware.

Οι ηθοποιοί του Ransomware Threat εξελίσσουν τις τεχνικές τους

Η εμφάνιση του CACTUS Ransomware αντανακλά την αυξανόμενη πολυπλοκότητα του τοπίου των απειλών ransomware. Η παραοικονομία έχει εξελιχθεί για να υποστηρίζει επιθέσεις μεγάλης κλίμακας μέσω ενός δικτύου μεσιτών αρχικής πρόσβασης και κατόχων botnet. Αυτές οι οντότητες μεταπωλούν πρόσβαση σε συστήματα θυμάτων σε πολλούς συνεργάτες, συμβάλλοντας στην επέκταση των απειλών ransomware.

Παρά τις παγκόσμιες προσπάθειες των κυβερνήσεων για την καταπολέμηση του ransomware, το επιχειρηματικό μοντέλο Ransomware-as-a-Service (RaaS) παραμένει μια ανθεκτική και κερδοφόρα μέθοδος για την απόσπαση χρημάτων από στόχους. Η μακροζωία και η κερδοφορία αυτού του μοντέλου παραμένουν, επιτρέποντας στους παράγοντες απειλών να προσαρμοστούν και να συνεχίσουν τις παράνομες δραστηριότητές τους.

Μια αξιοσημείωτη ομάδα ransomware, η Black Basta , μπήκε στη σκηνή τον Απρίλιο του 2022 και εκτιμάται ότι έχει συγκεντρώσει παράνομα κέρδη που ξεπερνούν τα 107 εκατομμύρια δολάρια σε πληρωμές λύτρων Bitcoin από περισσότερα από 90 θύματα. Πρόσφατη κοινή έρευνα αποκάλυψε ότι ένα σημαντικό μέρος αυτών των κεφαλαίων ξεπλύθηκε μέσω της Garantex, ενός ρωσικού ανταλλακτηρίου κρυπτονομισμάτων που επιβλήθηκε από την κυβέρνηση των ΗΠΑ τον Απρίλιο του 2022 για διευκόλυνση συναλλαγών με την αγορά Hydra Dark Net.

Επιπλέον, η ανάλυση αποκάλυψε διασυνδέσεις μεταξύ του Black Basta και της πλέον ανενεργής ρωσικής ομάδας εγκλήματος στον κυβερνοχώρο Conti, η οποία σταμάτησε τη λειτουργία της περίπου την ίδια περίοδο με την εμφάνιση του Black Basta. Επιπλέον, έχουν εντοπιστεί δεσμοί με το QakBot , ένα εργαλείο που χρησιμοποιείται για την ανάπτυξη του ransomware. Αυτός ο περίπλοκος ιστός συσχετισμών υπογραμμίζει την περίπλοκη και διασυνδεδεμένη φύση των σύγχρονων λειτουργιών ransomware.