CACTUS Ransomware
Küberjulgeoleku teadlased hoiatavad CACTUS Ransomware kampaania eest, mis kasutab ära pilvanalüütika ja äriteabe platvormi Qlik Sense äsja avalikustatud turvaauku. See kampaania kujutab endast tähelepanuväärset arengut, kuna see tähistab esimest dokumenteeritud juhtumit, kus CACTUS Ransomware'i kasutavad pahatahtlikud osalejad on Qlik Sense'i turvaauke oma peamise meetodina sihitud keskkondadesse esmase juurdepääsu saamiseks võimendanud. See rõhutab arenevat taktikat, mida ohus osalejad kasutavad populaarsete tarkvaraplatvormide nõrkade külgede ärakasutamiseks volitamata juurdepääsu ja võimaliku andmete kahjustamise eesmärgil.
CACTUS Ransomware tarnitakse mitme tarkvara haavatavusega
Küberturvalisuse analüütikud on tuvastanud rea rünnakuid, mis näivad mitme kuu jooksul ära kolme avalikustatud turvaauku:
- CVE-2023-41265 (CVSS-i skoor: 9,9) – see haavatavus hõlmab HTTP-päringu tunneldamist, mis võimaldab kaugründajal tõsta oma õigusi ja saata päringuid hoidlarakendust majutava taustaserveri poolt.
- CVE-2023-41266 (CVSS skoor: 6,5) – tee läbimise haavatavus, mis võimaldab autentimata kaugründajal edastada HTTP-päringuid volitamata lõpp-punktidele.
- CVE-2023-48365 (CVSS skoor: 9,9) – HTTP-päiste ebaõigest valideerimisest tulenev autentimata koodi kaugkäitamise haavatavus, mis võimaldab kaugründajal HTTP-päringuid tunneldades oma õigusi tõsta.
Oluline on märkida, et CVE-2023-48365 on CVE-2023-41265 mittetäieliku plaastri tagajärg. Mõlemad haavatavused koos CVE-2023-41266-ga avalikustati 2023. aasta augusti lõpus ja CVE-2023-48365 parandus võeti kasutusele 20. septembril 2023.
Vaadeldud CACTUS Ransomware rünnakutes kasutatakse tuvastatud turvaauke ära, mis viib Qlik Sense Scheduleri teenuse väärkasutamiseni. See võimaldab ründajatel luua protsesse, mis on mõeldud täiendavate tööriistade allalaadimiseks, eesmärgiga luua püsivus ja seadistada kaugjuhtimispult.
Nende rünnetega seotud täiendavate tööriistade hulka kuuluvad ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk ja Plink. Eelkõige on ohus osalejaid täheldatud Sophose tarkvara desinstallimist, administraatori konto parooli muutmist ja RDP tunneli loomist Plinki kaudu. Rünnakuahelate tulemuseks on lõpuks CACTUS Ransomware juurutamine, kusjuures ründajad kasutavad andmete väljafiltreerimiseks ka kloone . See kõikehõlmav rünnakustrateegia rõhutab CACTUS Ransomware kampaania keerulist ja mitmeastmelist olemust.
Lunavaraohu näitlejad arendavad oma tehnikaid
CACTUS Ransomware ilmumine peegeldab lunavaraohu maastiku üha keerukamaks muutumist. Varjatud majandus on arenenud, et toetada ulatuslikke rünnakuid esialgsete juurdepääsuvahendajate ja robotivõrkude omanike võrgustiku kaudu. Need üksused müüvad juurdepääsu ohvrisüsteemidele edasi mitmele sidusettevõttele, aidates kaasa lunavaraohtude levikule.
Vaatamata valitsuste ülemaailmsetele jõupingutustele lunavara vastu võidelda, on Ransomware-as-a-Service (RaaS) ärimudel endiselt vastupidav ja kasumlik meetod sihtmärkidelt raha väljapressimiseks. Selle mudeli pikaealisus ja kasumlikkus püsivad, võimaldades ohus osalejatel kohaneda ja jätkata oma ebaseaduslikku tegevust.
Üks märkimisväärne lunavaragrupp Black Basta sisenes sündmuskohale 2022. aasta aprillis ja arvatakse, et kogus enam kui 90 ohvrilt Bitcoini lunarahamaksetena ebaseaduslikku kasumit üle 107 miljoni dollari. Hiljutised ühisuuringud on paljastanud, et märkimisväärne osa nendest vahenditest pesti läbi Garantex, Venemaa krüptovaluutabörsi, mille USA valitsus sanktsioneeris 2022. aasta aprillis tehingute hõlbustamise eest Hydra Dark Net turuga.
Lisaks on analüüs paljastanud seosed Black Basta ja praeguseks kadunud Venemaa küberkuritegude rühmituse Conti vahel, mis lõpetas tegevuse umbes samal ajal kui Black Basta tekkis. Lisaks on tuvastatud sidemed lunavara juurutamiseks kasutatava tööriista QakBotiga . See keerukas assotsiatsioonide võrk rõhutab tänapäevaste lunavaraoperatsioonide keerulist ja omavahel seotud olemust.
