CACTUS Ransomware

A kiberbiztonsági kutatók egy CACTUS Ransomware kampányra figyelmeztetnek, amely a Qlik Sense felhőelemző és üzleti intelligencia platformon belüli újonnan nyilvánosságra hozott biztonsági réseket használja ki. Ez a kampány figyelemre méltó fejlemény, mivel ez az első olyan dokumentált eset, amikor a CACTUS Ransomware-t használó rosszindulatú szereplők a Qlik Sense sebezhetőségeit használják fel elsődleges módszerként, hogy kezdeti hozzáférést kapjanak a célzott környezetekhez. Ez alátámasztja a fenyegetés szereplői által alkalmazott taktikák fejlődését a népszerű szoftverplatformok gyenge pontjainak kihasználása érdekében az illetéktelen hozzáférés és az adatok esetleges kompromittálása érdekében.

A CACTUS Ransomware számos szoftversérülékenységen keresztül érkezik

A kiberbiztonsági elemzők egy sor támadást azonosítottak, amelyek úgy tűnik, három feltárt sebezhetőséget használnak ki több hónapon keresztül:

• CVE-2023-41265 (CVSS pontszám: 9,9) – Ez a biztonsági rés HTTP-kérés-alagútkezelést tartalmaz, amely lehetővé teszi a távoli támadók számára, hogy megemeljék jogosultságaikat, és kéréseket küldjenek a tárolóalkalmazást kiszolgáló háttérkiszolgáló által végrehajtott kérésekre.
• CVE-2023-41266 (CVSS-pontszám: 6,5) – Útvonal-bejárási biztonsági rés, amely lehetővé teszi a nem hitelesített távoli támadók számára, hogy HTTP-kéréseket küldjenek jogosulatlan végpontokhoz.
• CVE-2023-48365 (CVSS-pontszám: 9,9) – A HTTP-fejlécek helytelen érvényesítéséből eredő, hitelesítés nélküli, távoli kódfuttatást lehetővé tévő biztonsági rés, amely lehetővé teszi a távoli támadók számára, hogy a HTTP-kérések alagútkezelésén keresztül megnöveljék jogosultságaikat.

Fontos megjegyezni, hogy a CVE-2023-48365 a CVE-2023-41265 hiányos javításának a következménye. Mindkét sebezhetőséget a CVE-2023-41266-tal együtt 2023. augusztus végén hozták nyilvánosságra, a CVE-2023-48365 javítást pedig 2023. szeptember 20-án hajtották végre.

A megfigyelt CACTUS Ransomware támadások során az azonosított sebezhetőségeket kihasználják, ami a Qlik Sense Scheduler szolgáltatással való visszaéléshez vezet. Ez lehetővé teszi a támadók számára, hogy olyan folyamatokat indítsanak el, amelyek további eszközök letöltésére szolgálnak a tartósság megteremtése és a távvezérlés beállítása céljából.

A támadásokhoz kapcsolódó további eszközök közé tartozik a ManageEngine Unified Endpoint Management and Security (UEMS), az AnyDesk és a Plink. Figyelemre méltó, hogy a fenyegetés szereplői eltávolították a Sophos szoftvert, megváltoztatták a rendszergazdai fiók jelszavát, és létrehoztak egy RDP alagutat a Plink segítségével. A támadási láncok végül a CACTUS Ransomware telepítését eredményezik, és a támadók klónokat is használnak az adatok kiszűrésére. Ez az átfogó támadási stratégia aláhúzza a CACTUS Ransomware kampány kifinomult és többlépcsős természetét.

A zsarolóvírus-fenyegetés szereplői fejlesztik technikáikat

A CACTUS Ransomware megjelenése a ransomware-fenyegetettség egyre kifinomultabbá válását tükrözi. A feketegazdaság úgy fejlődött, hogy a kezdeti hozzáférési közvetítők és botnet-tulajdonosok hálózatán keresztül támogassa a nagyszabású támadásokat. Ezek az entitások továbbértékesítik az áldozatrendszerekhez való hozzáférést több társult szereplő számára, hozzájárulva a ransomware-fenyegetések terjedéséhez.

Annak ellenére, hogy a kormányok globális erőfeszítéseket tesznek a zsarolóvírusok elleni küzdelemben, a Ransomware-as-a-Service (RaaS) üzleti modell továbbra is rugalmas és jövedelmező módszer a célpontoktól való pénzzsarolásra. Ennek a modellnek a hosszú élettartama és jövedelmezősége továbbra is fennáll, lehetővé téve a fenyegetés szereplői számára, hogy alkalmazkodjanak, és folytassák tiltott tevékenységeiket.

Az egyik jelentős zsarolóprogram-csoport, a Black Basta 2022 áprilisában lépett színre, és a becslések szerint több mint 107 millió dollárt meghaladó illegális haszonra tett szert több mint 90 áldozattól származó Bitcoin váltságdíj kifizetéseként. A közelmúltban végzett közös kutatások kimutatták, hogy ezeknek az alapoknak egy jelentős részét a Garantexen, egy orosz kriptovaluta tőzsdén mosták tisztára, amelyet az Egyesült Államok kormánya 2022 áprilisában szankcionált a Hydra Dark Net piactérrel való tranzakciók megkönnyítése miatt.

Ezenkívül az elemzés összefüggéseket tárt fel a Black Basta és a mára megszűnt orosz kiberbűnözők csoportja , a Conti között, amely a Black Basta megjelenésével nagyjából egy időben szűnt meg. Ezenkívül a QakBot- tal, a zsarolóvírusok telepítéséhez használt eszközzel való kapcsolatokat azonosították. Az asszociációknak ez a bonyolult hálója aláhúzza a modern ransomware műveletek összetett és egymással összefüggő természetét.