CACTUS Ransomware

Kyberturvallisuustutkijat varoittavat CACTUS Ransomware -kampanjasta, jossa hyödynnetään hiljattain julkistettuja tietoturvahaavoittuvuuksia Qlik Sense -pilvianalyysi- ja liiketoimintatietoalustassa. Tämä kampanja edustaa huomionarvoista kehitystä, sillä se merkitsee ensimmäistä dokumentoitua tapausta, jossa CACTUS Ransomwarea käyttävät pahantahtoiset toimijat ovat hyödyntäneet Qlik Sensen haavoittuvuuksia ensisijaisena menetelmänä päästäkseen kohdennettuihin ympäristöihin. Tämä korostaa uhkatekijöiden käyttämää kehittyvää taktiikkaa hyödyntääkseen suosittujen ohjelmistoalustojen heikkouksia luvaton pääsyn ja mahdollisten tietojen vaarantamisen vuoksi.

CACTUS Ransomware toimitetaan useiden ohjelmistohaavoittuvuuksien kautta

Kyberturvallisuusanalyytikot ovat tunnistaneet sarjan hyökkäyksiä, jotka näyttävät hyödyntävän kolmea paljastettua haavoittuvuutta useiden kuukausien ajalta:

• CVE-2023-41265 (CVSS-pistemäärä: 9,9) – Tämä haavoittuvuus sisältää HTTP-pyyntötunneloinnin, jonka avulla etähyökkääjä voi nostaa oikeuksiaan ja lähettää pyyntöjä, jotka arkistosovellusta isännöivä taustapalvelin suorittaa.
• CVE-2023-41266 (CVSS-pisteet: 6,5) – Polun läpikulkuhaavoittuvuus, jonka avulla todentamaton etähyökkääjä voi lähettää HTTP-pyyntöjä luvattomiin päätepisteisiin.
• CVE-2023-48365 (CVSS-pisteet: 9,9) – HTTP-otsikoiden virheellisestä tarkistuksesta johtuva todentamaton koodin etäsuorittamisen haavoittuvuus, jonka avulla etähyökkääjä voi nostaa oikeuksiaan tunneloimalla HTTP-pyyntöjä.

On tärkeää huomata, että CVE-2023-48365 on seurausta CVE-2023-41265:n epätäydellisestä korjaustiedostosta. Molemmat haavoittuvuudet sekä CVE-2023-41266 paljastettiin elokuun 2023 lopussa, ja korjaus CVE-2023-48365:een otettiin käyttöön 20.9.2023.

Havaituissa CACTUS Ransomware -hyökkäyksissä tunnistettuja haavoittuvuuksia käytetään hyväksi, mikä johtaa Qlik Sense Scheduler -palvelun väärinkäyttöön. Tämän ansiosta hyökkääjät voivat synnyttää prosesseja, jotka on suunniteltu lataamaan lisätyökaluja pysyvyyden varmistamiseksi ja kauko-ohjauksen määrittämiseksi.

Näihin hyökkäyksiin liittyviä lisätyökaluja ovat ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk ja Plink. Erityisesti uhkatekijöiden on havaittu poistavan Sophos-ohjelmiston asennusta, vaihtavan järjestelmänvalvojan tilin salasanaa ja luovan RDP-tunnelin Plinkin kautta. Hyökkäysketjut johtavat lopulta CACTUS Ransomwaren käyttöönottoon, ja hyökkääjät käyttävät myös klooneja tietojen suodattamiseen. Tämä kattava hyökkäysstrategia korostaa CACTUS Ransomware -kampanjan kehittynyttä ja monivaiheista luonnetta.

Ransomware-uhkatoimijat kehittävät tekniikoitaan

CACTUS Ransomwaren ilmestyminen heijastaa kiristyshaittaohjelmien uhkakuvan kehittymistä. Harmaa talous on kehittynyt tukemaan laajamittaisia hyökkäyksiä alkupääsyvälittäjien ja bottiverkkojen omistajien verkoston kautta. Nämä entiteetit jälleenmyyvät pääsyn uhrijärjestelmiin useille tytäryhtiöiden toimijoille, mikä edistää kiristysohjelmauhkien leviämistä.

Huolimatta hallitusten maailmanlaajuisista ponnisteluista kiristysohjelmien torjumiseksi, Ransomware-as-a-Service (RaaS) -liiketoimintamalli on edelleen kestävä ja kannattava tapa kiristää rahaa kohteista. Tämän mallin pitkäikäisyys ja kannattavuus säilyvät, mikä antaa uhkatoimijoille mahdollisuuden sopeutua ja jatkaa laitonta toimintaansa.

Yksi merkittävä kiristysohjelmaryhmä, Black Basta , astui paikalle huhtikuussa 2022, ja sen arvioidaan keränneen yli 107 miljoonan dollarin laittomia voittoja Bitcoin-lunnasmaksuina yli 90 uhrilta. Viimeaikainen yhteinen tutkimus on paljastanut, että merkittävä osa näistä varoista pestään Garantexin, venäläisen kryptovaluuttapörssin kautta, jolle Yhdysvaltain hallitus hyväksyi huhtikuussa 2022 kaupankäynnin helpottamiseksi Hydra Dark Net -markkinapaikan kanssa.

Lisäksi analyysi on paljastanut yhteyksiä Black Bastan ja nyt lakkautetun venäläisen kyberrikollisuusryhmän Contin välillä, joka lopetti toimintansa suunnilleen samaan aikaan Black Bastan ilmaantumisen kanssa. Lisäksi on tunnistettu yhteyksiä QakBot- työkaluun, jota käytetään kiristysohjelmien käyttöönotossa. Tämä monimutkainen assosiaatioiden verkko korostaa nykyaikaisten kiristysohjelmien monimutkaisuutta ja toisiinsa yhteydessä olevaa luonnetta.