תוכנת כופר של CACTUS

חוקרי אבטחת סייבר מזהירים מפני מסע פרסום של CACTUS Ransomware המנצל את פרצות האבטחה החדשות שנחשפו ב-Qlik Sense, פלטפורמת ניתוח ענן ובינה עסקית. מסע פרסום זה מייצג התפתחות ראויה לציון שכן הוא מסמל את המקרה המתועד הראשון שבו שחקנים זדוניים המשתמשים בתוכנת הכופר של CACTUS מינפו נקודות תורפה ב-Qlik Sense כשיטה העיקרית שלהם להשיג גישה ראשונית לסביבות ממוקדות. זה מדגיש את הטקטיקות המתפתחות שמפעילים גורמי איומים כדי לנצל חולשות בפלטפורמות תוכנה פופולריות לגישה לא מורשית ולפגיעה אפשרית בנתונים.

תוכנת הכופר של CACTUS מועברת באמצעות מספר פרצות תוכנה

אנליסטים של אבטחת סייבר זיהו סדרה של התקפות שנראות כמנצלות שלוש נקודות תורפה שנחשפו לאורך מספר חודשים:

• CVE-2023-41265 (ציון CVSS: 9.9) - פגיעות זו כרוכה ב-HTTP Request Tunneling, המאפשרת לתוקף מרוחק להעלות את ההרשאות שלו ולשלוח בקשות המבוצעות על ידי שרת הקצה המארח את אפליקציית המאגר.
• CVE-2023-41266 (ציון CVSS: 6.5) - פגיעות של חציית נתיב המאפשרת לתוקף לא מאומת מרוחק להעביר בקשות HTTP לנקודות קצה לא מורשות.
• CVE-2023-48365 (ציון CVSS: 9.9) - פגיעות לא מאומתת של ביצוע קוד מרחוק הנובעת מאימות לא תקין של כותרות HTTP, המאפשרת לתוקף מרוחק להעלות את ההרשאות שלו באמצעות מנהור בקשות HTTP.

חשוב לציין ש-CVE-2023-48365 הוא תוצאה של תיקון לא שלם עבור CVE-2023-41265. שתי הפגיעויות, יחד עם CVE-2023-41266, נחשפו בסוף אוגוסט 2023, ותיקון עבור CVE-2023-48365 יושם ב-20 בספטמבר 2023.

בהתקפות CACTUS Ransomware שנצפו, מנוצלות הפגיעויות שזוהו, מה שמוביל לשימוש לרעה בשירות Qlik Sense Scheduler. זה מאפשר לתוקפים להוליד תהליכים שנועדו להוריד כלים נוספים במטרה לבסס התמדה ולהגדיר שליטה מרחוק.

הכלים הנוספים המעורבים בהתקפות אלו כוללים את ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk ו-Plink. יש לציין ששחקני האיומים נצפו מסירים את תוכנת Sophos, משנים את סיסמת חשבון המנהל ויוצרים מנהרת RDP באמצעות Plink. שרשראות התקיפה מביאות בסופו של דבר לפריסת תוכנת הכופר של CACTUS, כאשר התוקפים משתמשים גם בשיבוטים לצורך הוצאת נתונים. אסטרטגיית תקיפה מקיפה זו מדגישה את האופי המתוחכם והרב-שלבי של מסע הפרסום של CACTUS Ransomware.

שחקני איומי כופר מפתחים את הטכניקות שלהם

הופעתה של תוכנת הכופר של CACTUS משקפת את התחכום ההולך וגובר של נוף איומי הכופר. הכלכלה המחתרתית התפתחה כדי לתמוך בהתקפות בקנה מידה גדול באמצעות רשת של מתווכים גישה ראשונית ובעלי רשת בוט. גופים אלה מוכרים גישה למערכות קורבנות למספר שחקנים שותפים, מה שתורם להרחבת איומי תוכנות הכופר.

למרות המאמצים העולמיים של ממשלות להילחם בתוכנת כופר, המודל העסקי של Ransomware-as-a-Service (RaaS) נותר שיטה עמידה ורווחית לסחיטת כספים ממטרות. אורך החיים והרווחיות של מודל זה נמשכים, ומאפשרים לגורמי איומים להסתגל ולהמשיך בפעילותם הבלתי חוקית.

קבוצת תוכנות כופר בולטת אחת, Black Basta , נכנסה למקום באפריל 2022 ועל פי ההערכות צברה רווחים בלתי חוקיים של יותר מ-107 מיליון דולר בתשלומי כופר ביטקוין מיותר מ-90 קורבנות. מחקר משותף אחרון חשף כי חלק ניכר מהכספים הללו הולבן באמצעות Garantex, בורסת מטבעות קריפטוגרפיים רוסית שאושרה על ידי ממשלת ארה"ב באפריל 2022 על מנת להקל על עסקאות עם שוק Hydra Dark Net.

יתר על כן, הניתוח חשף קשרים בין בלאק באסטה לבין קבוצת פשע הסייבר הרוסית Conti שנכחדה כעת, אשר הפסיקה את פעילותה בערך באותו זמן עם הופעתה של בלאק באסטה. בנוסף, זוהו קשרים ל- QakBot , כלי המשמש לפריסת תוכנת הכופר. הרשת הסבוכה הזו של אסוציאציות מדגישה את האופי המורכב והמקושר של פעולות תוכנות כופר מודרניות.