CACTUS ransomware

I ricercatori di sicurezza informatica mettono in guardia da una campagna CACTUS Ransomware che sfrutta le vulnerabilità di sicurezza recentemente rivelate all’interno di Qlik Sense, una piattaforma di analisi cloud e business intelligence. Questa campagna rappresenta uno sviluppo degno di nota in quanto rappresenta il primo caso documentato in cui attori malintenzionati che utilizzano il ransomware CACTUS hanno sfruttato le vulnerabilità di Qlik Sense come metodo principale per ottenere l'accesso iniziale agli ambienti presi di mira. Ciò sottolinea le tattiche in evoluzione impiegate dagli autori delle minacce per sfruttare i punti deboli delle piattaforme software più diffuse per l’accesso non autorizzato e la potenziale compromissione dei dati.

Il ransomware CACTUS viene distribuito tramite diverse vulnerabilità del software

Gli analisti della sicurezza informatica hanno identificato una serie di attacchi che sembrano sfruttare tre vulnerabilità divulgate nell’arco di diversi mesi:

• CVE-2023-41265 (punteggio CVSS: 9,9) - Questa vulnerabilità coinvolge il tunneling delle richieste HTTP, consentendo a un utente malintenzionato remoto di elevare i propri privilegi e inviare richieste eseguite dal server backend che ospita l'applicazione repository.
• CVE-2023-41266 (punteggio CVSS: 6,5) - Una vulnerabilità di attraversamento del percorso che consente a un utente malintenzionato remoto non autenticato di trasmettere richieste HTTP a endpoint non autorizzati.
• CVE-2023-48365 (punteggio CVSS: 9,9) - Una vulnerabilità legata all'esecuzione di codice remoto non autenticato derivante da una convalida impropria delle intestazioni HTTP, che consente a un utente malintenzionato remoto di elevare i propri privilegi attraverso il tunneling delle richieste HTTP.

È importante notare che CVE-2023-48365 è una conseguenza di una patch incompleta per CVE-2023-41265. Entrambe le vulnerabilità, insieme a CVE-2023-41266, sono state divulgate alla fine di agosto 2023 e una correzione per CVE-2023-48365 è stata implementata il 20 settembre 2023.

Negli attacchi CACTUS Ransomware osservati vengono sfruttate le vulnerabilità identificate, portando all'uso improprio del servizio Qlik Sense Scheduler. Ciò consente agli aggressori di avviare processi progettati per scaricare strumenti aggiuntivi con l'obiettivo di stabilire la persistenza e impostare il controllo remoto.

Gli strumenti aggiuntivi coinvolti in questi attacchi includono ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk e Plink. In particolare, è stato osservato che gli autori delle minacce disinstallavano il software Sophos, modificavano la password dell'account amministratore e creavano un tunnel RDP tramite Plink. Le catene di attacco alla fine portano all'implementazione del ransomware CACTUS, con gli aggressori che utilizzano anche cloni per l'esfiltrazione dei dati. Questa strategia di attacco globale sottolinea la natura sofisticata e in più fasi della campagna CACTUS Ransomware.

Gli autori delle minacce ransomware stanno evolvendo le loro tecniche

L’emergere del ransomware CACTUS riflette la crescente sofisticazione del panorama delle minacce ransomware. L’economia sommersa si è evoluta per supportare attacchi su larga scala attraverso una rete di intermediari di accesso iniziale e proprietari di botnet. Queste entità rivendono l'accesso ai sistemi delle vittime a più attori affiliati, contribuendo all'espansione delle minacce ransomware.

Nonostante gli sforzi globali dei governi per combattere il ransomware, il modello di business Ransomware-as-a-Service (RaaS) rimane un metodo resiliente e redditizio per estorcere denaro agli obiettivi. La longevità e la redditività di questo modello persistono, consentendo agli autori delle minacce di adattarsi e continuare le loro attività illecite.

Un noto gruppo di ransomware, Black Basta , è entrato in scena nell'aprile 2022 e si stima che abbia accumulato profitti illeciti superiori a 107 milioni di dollari in pagamenti di riscatto Bitcoin da oltre 90 vittime. Una recente ricerca congiunta ha rivelato che una parte significativa di questi fondi è stata riciclata attraverso Garantex, un exchange di criptovalute russo autorizzato dal governo degli Stati Uniti nell'aprile 2022 per aver facilitato le transazioni con il mercato Hydra Dark Net.

Inoltre, l'analisi ha scoperto collegamenti tra Black Basta e l'ormai defunto gruppo di criminalità informatica russo Conti, che cessò le operazioni nello stesso periodo dell'emergere di Black Basta. Inoltre, sono stati identificati collegamenti con QakBot , uno strumento utilizzato per distribuire il ransomware. Questa intricata rete di associazioni sottolinea la natura complessa e interconnessa delle moderne operazioni di ransomware.