CACTUS Ransomware

Kibernetinio saugumo tyrėjai įspėja apie CACTUS Ransomware kampaniją, kurioje pasinaudojama naujai atskleistomis debesų analizės ir verslo žvalgybos platformos Qlik Sense saugos spraga. Ši kampanija yra vertas dėmesio, nes tai pirmasis dokumentais užfiksuotas atvejis, kai kenkėjiški veikėjai, naudojantys CACTUS Ransomware, panaudojo Qlik Sense pažeidžiamumą kaip pagrindinį būdą gauti pradinę prieigą prie tikslinės aplinkos. Tai pabrėžia besivystančią taktiką, kurią taiko grėsmės veikėjai, siekdami išnaudoti populiarių programinės įrangos platformų trūkumus neteisėtai prieigai ir galimiems duomenų kompromisams.

CACTUS Ransomware pristatoma per keletą programinės įrangos pažeidžiamumų

Kibernetinio saugumo analitikai nustatė keletą atakų, kurios, atrodo, išnaudoja tris atskleistas spragas, apimančias kelis mėnesius:

• CVE-2023-41265 (CVSS balas: 9,9) – šis pažeidžiamumas apima HTTP užklausų tuneliavimą, leidžiantį nuotoliniam užpuolikui padidinti savo privilegijas ir siųsti užklausas, kurias vykdo vidinis serveris, kuriame yra saugyklos programa.
• CVE-2023-41266 (CVSS balas: 6,5) – kelio perėjimo pažeidžiamumas, leidžiantis neautentifikuotam nuotoliniam užpuolikui perduoti HTTP užklausas į neteisėtus galinius taškus.
• CVE-2023-48365 (CVSS balas: 9,9) – neautentifikuotas nuotolinio kodo vykdymo pažeidžiamumas, atsirandantis dėl netinkamo HTTP antraščių patvirtinimo, leidžiantis nuotoliniam užpuolikui padidinti savo privilegijas per tuneliavimo HTTP užklausas.

Svarbu pažymėti, kad CVE-2023-48365 yra neužbaigtos CVE-2023-41265 pataisos pasekmė. Abi spragos, kartu su CVE-2023-41266, buvo atskleistos 2023 m. rugpjūčio pabaigoje, o CVE-2023-48365 pataisymas buvo įdiegtas 2023 m. rugsėjo 20 d.

Stebėtose CACTUS Ransomware atakose išnaudojamos nustatytos spragos, todėl piktnaudžiaujama Qlik Sense Scheduler paslauga. Tai leidžia užpuolikams pradėti procesus, skirtus atsisiųsti papildomus įrankius, siekiant užtikrinti patvarumą ir nustatyti nuotolinį valdymą.

Papildomi įrankiai, susiję su šiomis atakomis, yra „ManageEngine Unified Endpoint Management and Security“ (UEMS), „AnyDesk“ ir „Plink“. Pažymėtina, kad grėsmės veikėjai buvo pastebėti pašalindami „Sophos“ programinę įrangą, pakeitę administratoriaus paskyros slaptažodį ir naudodami „Plink“ sukurdami KPP tunelį. Dėl atakų grandinių galiausiai įdiegiama CACTUS Ransomware, o užpuolikai taip pat naudoja klonus duomenims išfiltruoti. Ši išsami atakos strategija pabrėžia sudėtingą ir daugiapakopį CACTUS Ransomware kampanijos pobūdį.

Ransomware grėsmės veikėjai tobulina savo metodus

CACTUS Ransomware atsiradimas atspindi didėjantį ransomware grėsmės kraštovaizdį. Požeminė ekonomika išsivystė taip, kad palaikytų didelio masto atakas per pradinių prieigos brokerių ir robotų tinklų savininkų tinklą. Šie subjektai perparduoda prieigą prie aukų sistemų keliems susijusiems subjektams, taip prisidedant prie išpirkos reikalaujančių programų plitimo.

Nepaisant pasaulinių vyriausybių pastangų kovoti su išpirkos reikalaujančiomis programomis, „Ransomware-as-a-Service“ (RaaS) verslo modelis išlieka atsparus ir pelningas būdas išvilioti pinigus iš taikinių. Šio modelio ilgaamžiškumas ir pelningumas išlieka, todėl grėsmės veikėjai gali prisitaikyti ir tęsti savo neteisėtą veiklą.

Viena žymi išpirkos reikalaujančių programų grupė „Black Basta“ įžengė į sceną 2022 m. balandį ir, kaip manoma, sukaupė daugiau nei 107 mln. Neseniai atliktas bendras tyrimas atskleidė, kad nemaža dalis šių lėšų buvo išplauta per Garantex – Rusijos kriptovaliutų biržą, kuriai JAV vyriausybė 2022 m. balandį sankcionavo už sandorius su Hydra Dark Net rinka.

Be to, analizė atskleidė ryšius tarp „Black Basta“ ir dabar jau nebeegzistuojančios Rusijos kibernetinių nusikaltimų grupės „Conti“, kuri nutraukė veiklą maždaug tuo pačiu metu, kai atsirado „Black Basta“. Be to, buvo nustatyti ryšiai su QakBot , įrankiu, naudojamu diegiant išpirkos reikalaujančią programinę įrangą. Šis sudėtingas asociacijų tinklas pabrėžia sudėtingą ir tarpusavyje susijusį šiuolaikinių išpirkos programų operacijų pobūdį.