CACTUS Ransomware

Kiberdrošības pētnieki brīdina par CACTUS Ransomware kampaņu, kas gūst labumu no tikko atklātajām drošības ievainojamībām Qlik Sense, mākoņa analītikas un biznesa informācijas platformā. Šī kampaņa ir ievērojama attīstība, jo tā ir pirmais dokumentētais gadījums, kad ļaunprātīgi dalībnieki, kas izmanto CACTUS Ransomware, ir izmantojuši Qlik Sense ievainojamības kā savu primāro metodi, lai iegūtu sākotnējo piekļuvi mērķa vidēm. Tas pasvītro attīstošo taktiku, ko izmanto apdraudējuma dalībnieki, lai izmantotu populāro programmatūras platformu vājās vietas nesankcionētai piekļuvei un iespējamai datu kompromitēšanai.

CACTUS Ransomware tiek piegādāts, izmantojot vairākas programmatūras ievainojamības

Kiberdrošības analītiķi ir identificējuši virkni uzbrukumu, kuros, šķiet, tiek izmantotas trīs atklātas ievainojamības, kas aptver vairākus mēnešus:

• CVE-2023-41265 (CVSS rādītājs: 9,9) — šī ievainojamība ietver HTTP pieprasījumu tunelēšanu, kas ļauj attālam uzbrucējam paaugstināt savas privilēģijas un nosūtīt pieprasījumus, ko izpilda aizmugursistēmas serveris, kurā tiek mitināta repozitorija lietojumprogramma.
• CVE-2023-41266 (CVSS rādītājs: 6,5) — ceļa šķērsošanas ievainojamība, kas ļauj neautentificētam attālam uzbrucējam pārsūtīt HTTP pieprasījumus uz neautorizētiem galapunktiem.
• CVE-2023-48365 (CVSS rādītājs: 9,9) — neautentificēta attālināta koda izpildes ievainojamība, kas rodas nepareizas HTTP galveņu validācijas dēļ, ļaujot attālam uzbrucējam paaugstināt savas privilēģijas, tunelējot HTTP pieprasījumus.

Ir svarīgi atzīmēt, ka CVE-2023-48365 ir nepilnīga CVE-2023-41265 ielāpa sekas. Abas ievainojamības, kā arī CVE-2023-41266, tika atklātas 2023. gada augusta beigās, un CVE-2023-48365 labojums tika ieviests 2023. gada 20. septembrī.

Novērotajos CACTUS Ransomware uzbrukumos tiek izmantotas identificētās ievainojamības, kas noved pie Qlik Sense Scheduler pakalpojuma ļaunprātīgas izmantošanas. Tas ļauj uzbrucējiem izveidot procesus, kas paredzēti papildu rīku lejupielādei, lai nodrošinātu noturību un iestatītu tālvadības pulti.

Šajos uzbrukumos iesaistītie papildu rīki ir ManageEngine vienotā galapunktu pārvaldība un drošība (UEMS), AnyDesk un Plink. Jo īpaši tika novērots, ka apdraudējuma dalībnieki atinstalēja Sophos programmatūru, maina administratora konta paroli un izveido LAP tuneli, izmantojot Plink. Uzbrukumu ķēdes galu galā noved pie CACTUS Ransomware izvietošanas, un uzbrucēji izmanto arī klonus datu eksfiltrācijai. Šī visaptverošā uzbrukuma stratēģija uzsver CACTUS Ransomware kampaņas izsmalcināto un daudzpakāpju raksturu.

Ransomware draudu dalībnieki pilnveido savas metodes

CACTUS Ransomware parādīšanās atspoguļo ransomware draudu ainavas pieaugošo izsmalcinātību. Pazemes ekonomika ir attīstījusies, lai atbalstītu liela mēroga uzbrukumus, izmantojot sākotnējo piekļuves brokeru un robottīklu īpašnieku tīklu. Šīs vienības tālāk pārdod piekļuvi upuru sistēmām vairākiem saistītajiem dalībniekiem, veicinot izspiedējvīrusu draudu izplatību.

Neskatoties uz valdību globālajiem centieniem apkarot izspiedējvīrusu, Ransomware-as-a-Service (RaaS) biznesa modelis joprojām ir noturīgs un ienesīgs veids, kā izspiest naudu no mērķiem. Šī modeļa ilgmūžība un rentabilitāte saglabājas, ļaujot apdraudējuma dalībniekiem pielāgoties un turpināt savas nelikumīgās darbības.

Viena ievērojama izpirkuma programmatūras grupa Black Basta ienāca notikuma vietā 2022. gada aprīlī, un tiek lēsts, ka tā ir guvusi nelikumīgu peļņu, kas pārsniedz 107 miljonus USD Bitcoin izpirkuma maksājumos no vairāk nekā 90 upuriem. Nesenie kopīgie pētījumi atklāja, ka ievērojama daļa šo līdzekļu tika legalizēta, izmantojot Garantex, Krievijas kriptovalūtu biržu, kuru ASV valdība 2022. gada aprīlī sankcionēja par darījumu veicināšanu ar Hydra Dark Net tirgu.

Turklāt analīzē ir atklātas saiknes starp Black Basta un tagad neeksistējošo Krievijas kibernoziegumu grupu Conti, kas pārtrauca darbību aptuveni tajā pašā laikā, kad parādījās Black Basta. Turklāt ir identificētas saites ar QakBot — rīku, ko izmanto izspiedējvīrusa izvietošanai. Šis sarežģītais asociāciju tīkls uzsver mūsdienu izspiedējvīrusa operāciju sarežģīto un savstarpēji saistīto raksturu.