CACTUS Ransomware

Istraživači kibernetičke sigurnosti upozoravaju na kampanju CACTUS Ransomwarea koja kapitalizira novootkrivene sigurnosne propuste unutar Qlik Sense, platforme za analitiku u oblaku i poslovne inteligencije. Ova kampanja predstavlja razvoj vrijedan pažnje jer označava prvi dokumentirani slučaj u kojem su zlonamjerni akteri koji koriste CACTUS Ransomware iskoristili ranjivosti u Qlik Senseu kao svoju primarnu metodu za dobivanje početnog pristupa ciljanim okruženjima. Ovo naglašava razvoj taktike koju koriste akteri prijetnji kako bi iskoristili slabosti u popularnim softverskim platformama za neovlašteni pristup i potencijalno ugrožavanje podataka.

Ransomware CACTUS isporučuje se putem nekoliko ranjivosti softvera

Analitičari kibernetičke sigurnosti identificirali su niz napada za koje se čini da iskorištavaju tri otkrivene ranjivosti u rasponu od nekoliko mjeseci:

• CVE-2023-41265 (CVSS rezultat: 9,9) - Ova ranjivost uključuje HTTP Request Tunneling, omogućavajući udaljenom napadaču da podigne svoje privilegije i pošalje zahtjeve koje izvršava pozadinski poslužitelj koji hostira aplikaciju repozitorija.
• CVE-2023-41266 (CVSS rezultat: 6,5) - Ranjivost prolaza kroz put koja omogućuje neautentificiranom, udaljenom napadaču da prenese HTTP zahtjeve neovlaštenim krajnjim točkama.
• CVE-2023-48365 (CVSS rezultat: 9,9) - Ranjivost neautoriziranog, udaljenog izvršavanja koda koja je rezultat neispravne provjere valjanosti HTTP zaglavlja, dopuštajući udaljenom napadaču da podigne svoje privilegije kroz tuneliranje HTTP zahtjeva.

Važno je napomenuti da je CVE-2023-48365 posljedica nepotpune zakrpe za CVE-2023-41265. Obje ranjivosti, zajedno s CVE-2023-41266, otkrivene su krajem kolovoza 2023., a popravak za CVE-2023-48365 implementiran je 20. rujna 2023.

U promatranim napadima CACTUS Ransomwarea iskorištavaju se identificirane ranjivosti, što dovodi do zlouporabe usluge Qlik Sense Scheduler. To napadačima omogućuje pokretanje procesa dizajniranih za preuzimanje dodatnih alata s ciljem uspostavljanja postojanosti i postavljanja daljinskog upravljanja.

Dodatni alati uključeni u ove napade uključuju ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk i Plink. Primjećeno je da su akteri prijetnji uočeni kako deinstaliraju softver Sophos, mijenjaju lozinku administratorskog računa i stvaraju RDP tunel putem Plink-a. Lanci napada u konačnici rezultiraju uvođenjem CACTUS Ransomwarea, pri čemu napadači također koriste klonove za eksfiltraciju podataka. Ova sveobuhvatna strategija napada naglašava sofisticiranu i višefaznu prirodu CACTUS Ransomware kampanje.

Akteri prijetnji ransomwareom razvijaju svoje tehnike

Pojava CACTUS Ransomwarea odražava sve veću sofisticiranost krajolika prijetnji ransomwarea. Podzemna ekonomija razvila se kako bi podržala napade velikih razmjera putem mreže brokera za početni pristup i vlasnika botneta. Ti subjekti preprodaju pristup oštećenim sustavima višestrukim povezanim akterima, pridonoseći širenju prijetnji ransomwarea.

Unatoč globalnim naporima vlada u borbi protiv ransomwarea, poslovni model Ransomware-as-a-Service (RaaS) ostaje otporna i profitabilna metoda za iznuđivanje novca od meta. Dugotrajnost i profitabilnost ovog modela i dalje postoje, omogućujući akterima prijetnji da se prilagode i nastave svoje nezakonite aktivnosti.

Jedna značajna skupina ransomwarea, Black Basta , stupila je na scenu u travnju 2022. i procjenjuje se da je prikupila nezakonitu zaradu koja premašuje 107 milijuna dolara u isplatama otkupnine Bitcoinom od preko 90 žrtava. Nedavno zajedničko istraživanje otkrilo je da je značajan dio tih sredstava opran putem Garantexa, ruske mjenjačnice kriptovaluta koju je američka vlada sankcionirala u travnju 2022. zbog omogućavanja transakcija s Hydra Dark Net tržištem.

Nadalje, analiza je otkrila veze između Black Basta i ruske grupe za kibernetički kriminal Conti, koja je prestala s radom otprilike u isto vrijeme kada se pojavio Black Basta. Osim toga, identificirane su veze s QakBotom , alatom koji se koristi za implementaciju ransomwarea. Ova zamršena mreža asocijacija naglašava složenu i međusobno povezanu prirodu modernih operacija ransomwarea.