CACTUS Ransomware

អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតកំពុងព្រមានអំពីយុទ្ធនាការ CACTUS Ransomware ដែលផ្តោតលើភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលទើបបង្ហាញថ្មីនៅក្នុង Qlik Sense ដែលជាវេទិកាវិភាគលើពពក និងអាជីវកម្មស៊ើបការណ៍សម្ងាត់។ យុទ្ធនាការនេះតំណាងឱ្យការអភិវឌ្ឍន៍គួរឱ្យកត់សម្គាល់ព្រោះវាបង្ហាញពីករណីដែលបានចងក្រងជាឯកសារដំបូងដែលតួអង្គព្យាបាទដែលប្រើប្រាស់ CACTUS Ransomware បានប្រើប្រាស់ភាពងាយរងគ្រោះនៅក្នុង Qlik Sense ជាវិធីសាស្ត្រចម្បងរបស់ពួកគេដើម្បីទទួលបានការចូលដំណើរការដំបូងទៅក្នុងបរិស្ថានគោលដៅ។ នេះគូសបញ្ជាក់អំពីយុទ្ធសាស្ត្រវិវត្តន៍ដែលប្រើដោយអ្នកគំរាមកំហែងដើម្បីទាញយកភាពទន់ខ្សោយនៅក្នុងវេទិកាកម្មវិធីពេញនិយមសម្រាប់ការចូលប្រើដោយគ្មានការអនុញ្ញាត និងការសម្របសម្រួលទិន្នន័យសក្តានុពល។

CACTUS Ransomware ត្រូវបានចែកចាយតាមរយៈភាពងាយរងគ្រោះផ្នែកទន់មួយចំនួន

អ្នកវិភាគសុវត្ថិភាពតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណជាបន្តបន្ទាប់នៃការវាយប្រហារដែលហាក់ដូចជាកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលបានបង្ហាញចំនួនបីក្នុងរយៈពេលជាច្រើនខែ៖

• CVE-2023-41265 (ពិន្ទុ CVSS: 9.9) - ភាពងាយរងគ្រោះនេះពាក់ព័ន្ធនឹង HTTP Request Tunneling ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយបង្កើនសិទ្ធិរបស់ពួកគេ និងផ្ញើសំណើដែលប្រតិបត្តិដោយម៉ាស៊ីនមេ backend ដែលបង្ហោះកម្មវិធីឃ្លាំង។
• CVE-2023-41266 (ពិន្ទុ CVSS: 6.5) - ភាពងាយរងគ្រោះឆ្លងកាត់ផ្លូវដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចបញ្ជូនសំណើ HTTP ទៅកាន់ចំណុចបញ្ចប់ដែលគ្មានការអនុញ្ញាត។
• CVE-2023-48365 (ពិន្ទុ CVSS: 9.9) - ភាពងាយរងគ្រោះនៃការប្រតិបត្តិកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ ដែលបណ្តាលមកពីការផ្ទៀងផ្ទាត់មិនត្រឹមត្រូវនៃបឋមកថា HTTP ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយបង្កើនសិទ្ធិរបស់ពួកគេតាមរយៈការស្នើសុំ HTTP ផ្លូវរូងក្រោមដី។

វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថា CVE-2023-48365 គឺជាផលវិបាកនៃបំណះមិនពេញលេញសម្រាប់ CVE-2023-41265 ។ ភាពងាយរងគ្រោះទាំងពីរ រួមជាមួយនឹង CVE-2023-41266 ត្រូវបានបង្ហាញនៅចុងខែសីហា ឆ្នាំ 2023 ហើយការជួសជុលសម្រាប់ CVE-2023-48365 ត្រូវបានអនុវត្តនៅថ្ងៃទី 20 ខែកញ្ញា ឆ្នាំ 2023។

នៅក្នុងការវាយប្រហាររបស់ CACTUS Ransomware ដែលបានសង្កេតឃើញ ភាពងាយរងគ្រោះដែលត្រូវបានកំណត់អត្តសញ្ញាណត្រូវបានកេងប្រវ័ញ្ច ដែលនាំទៅដល់ការប្រើប្រាស់សេវាកម្ម Qlik Sense Scheduler ខុស។ វាអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើតដំណើរការដែលត្រូវបានរចនាឡើងដើម្បីទាញយកឧបករណ៍បន្ថែមក្នុងគោលបំណងបង្កើតភាពជាប់លាប់ និងរៀបចំការបញ្ជាពីចម្ងាយ។

ឧបករណ៍បន្ថែមដែលពាក់ព័ន្ធនឹងការវាយប្រហារទាំងនេះរួមមាន ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk និង Plink ។ គួរកត់សម្គាល់ថា តួអង្គគំរាមកំហែងត្រូវបានគេសង្កេតឃើញបានលុបកម្មវិធី Sophos ផ្លាស់ប្តូរពាក្យសម្ងាត់គណនីអ្នកគ្រប់គ្រង និងបង្កើតផ្លូវរូងក្រោមដី RDP តាមរយៈ Plink ។ ខ្សែសង្វាក់វាយប្រហារនៅទីបំផុតនាំទៅដល់ការដាក់ពង្រាយ CACTUS Ransomware ដោយអ្នកវាយប្រហារក៏ប្រើប្រាស់ ក្លូន សម្រាប់ការទាញយកទិន្នន័យផងដែរ។ យុទ្ធសាស្ត្រវាយប្រហារដ៏ទូលំទូលាយនេះគូសបញ្ជាក់អំពីលក្ខណៈស្មុគ្រស្មាញ និងពហុដំណាក់កាលនៃយុទ្ធនាការ CACTUS Ransomware ។

តួអង្គគំរាមកំហែង Ransomware កំពុងវិវឌ្ឍន៍បច្ចេកទេសរបស់ពួកគេ។

ការលេចឡើងនៃ CACTUS Ransomware ឆ្លុះបញ្ចាំងពីការកើនឡើងនៃភាពស្មុគស្មាញនៃទិដ្ឋភាពគំរាមកំហែង ransomware ។ សេដ្ឋកិច្ចក្រោមដីបានវិវត្តន៍ដើម្បីគាំទ្រការវាយប្រហារទ្រង់ទ្រាយធំតាមរយៈបណ្តាញនៃឈ្មួញកណ្តាលចូលដំណើរការដំបូង និងម្ចាស់ botnet ។ អង្គភាពទាំងនេះលក់ឡើងវិញនូវការចូលប្រើប្រព័ន្ធជនរងគ្រោះទៅឱ្យតួអង្គពាក់ព័ន្ធជាច្រើន ដែលរួមចំណែកដល់ការពង្រីកការគំរាមកំហែង ransomware ។

ទោះបីជាមានការខិតខំប្រឹងប្រែងជាសាកលដោយរដ្ឋាភិបាលដើម្បីប្រយុទ្ធប្រឆាំងនឹងមេរោគ ransomware ក៏ដោយ ក៏គំរូអាជីវកម្ម Ransomware-as-a-Service (RaaS) នៅតែជាវិធីសាស្ត្រដែលធន់ និងផលចំណេញសម្រាប់ការជំរិតប្រាក់ពីគោលដៅ។ ភាពជាប់បានយូរ និងផលចំណេញនៃគំរូនេះនៅតែមាន ដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងសម្របខ្លួន និងបន្តសកម្មភាពខុសច្បាប់របស់ពួកគេ។

ក្រុម ransomware ដ៏គួរឱ្យកត់សម្គាល់មួយគឺ Black Basta បានចូលកន្លែងកើតហេតុក្នុងខែមេសា ឆ្នាំ 2022 ហើយត្រូវបានគេប៉ាន់ប្រមាណថាបានទទួលប្រាក់ចំណេញខុសច្បាប់លើសពី $107 លានដុល្លារក្នុងការបង់ប្រាក់លោះ Bitcoin ពីជនរងគ្រោះជាង 90 នាក់។ ការស្រាវជ្រាវរួមគ្នាថ្មីៗនេះបានបង្ហាញថាផ្នែកសំខាន់នៃមូលនិធិទាំងនេះត្រូវបានបោកគក់តាមរយៈ Garantex ដែលជាការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូរបស់រុស្ស៊ីដែលត្រូវបានដាក់ទណ្ឌកម្មដោយរដ្ឋាភិបាលសហរដ្ឋអាមេរិកក្នុងខែមេសា ឆ្នាំ 2022 សម្រាប់ការសម្របសម្រួលប្រតិបត្តិការជាមួយទីផ្សារ Hydra Dark Net ។

លើសពីនេះ ការវិភាគបានបង្ហាញពីទំនាក់ទំនងរវាង Black Basta និងក្រុមឧក្រិដ្ឋកម្មអ៊ីនធឺណេតរុស្ស៊ី Conti ដែលលែងដំណើរការក្នុងពេលដំណាលគ្នានឹងការលេចឡើងរបស់ Black Basta ។ លើសពីនេះទៀត ទំនាក់ទំនងទៅនឹង QakBot ដែលជាឧបករណ៍ដែលប្រើក្នុងការដាក់ពង្រាយ ransomware ត្រូវបានកំណត់អត្តសញ្ញាណ។ បណ្តាញទំនាក់ទំនងដ៏ស្មុគ្រស្មាញនេះគូសបញ្ជាក់អំពីលក្ខណៈស្មុគស្មាញ និងទំនាក់ទំនងគ្នាទៅវិញទៅមកនៃប្រតិបត្តិការ ransomware ទំនើប។