CACTUS Ransomware

Penyelidik keselamatan siber memberi amaran tentang kempen CACTUS Ransomware yang memanfaatkan kelemahan keselamatan yang baru didedahkan dalam Qlik Sense, analisis awan dan platform risikan perniagaan. Kempen ini mewakili perkembangan yang patut diberi perhatian kerana ia menandakan kes pertama yang didokumenkan di mana pelakon berniat jahat yang menggunakan CACTUS Ransomware telah memanfaatkan kelemahan dalam Qlik Sense sebagai kaedah utama mereka untuk mendapatkan akses awal ke dalam persekitaran yang disasarkan. Ini menggariskan taktik berkembang yang digunakan oleh pelaku ancaman untuk mengeksploitasi kelemahan dalam platform perisian popular untuk akses tanpa kebenaran dan potensi kompromi data.

CACTUS Ransomware Dihantar melalui Beberapa Kerentanan Perisian

Penganalisis keselamatan siber telah mengenal pasti beberapa siri serangan yang nampaknya mengeksploitasi tiga kelemahan yang didedahkan selama beberapa bulan:

• CVE-2023-41265 (skor CVSS: 9.9) - Kerentanan ini melibatkan Terowong Permintaan HTTP, membolehkan penyerang jauh meningkatkan keistimewaan mereka dan menghantar permintaan yang dilaksanakan oleh pelayan bahagian belakang yang mengehoskan aplikasi repositori.
• CVE-2023-41266 (skor CVSS: 6.5) - Kerentanan laluan yang membenarkan penyerang jauh yang tidak disahkan menghantar permintaan HTTP ke titik akhir yang tidak dibenarkan.
• CVE-2023-48365 (skor CVSS: 9.9) - Kerentanan pelaksanaan kod jauh yang tidak disahkan akibat daripada pengesahan pengepala HTTP yang tidak betul, membolehkan penyerang jauh meningkatkan keistimewaan mereka melalui permintaan HTTP terowong.

Adalah penting untuk ambil perhatian bahawa CVE-2023-48365 adalah akibat daripada tampung yang tidak lengkap untuk CVE-2023-41265. Kedua-dua kelemahan, bersama-sama dengan CVE-2023-41266, telah didedahkan pada penghujung Ogos 2023 dan pembetulan untuk CVE-2023-48365 telah dilaksanakan pada 20 September 2023.

Dalam serangan CACTUS Ransomware yang diperhatikan, kelemahan yang dikenal pasti dieksploitasi, yang membawa kepada penyalahgunaan perkhidmatan Qlik Sense Scheduler. Ini membolehkan penyerang menghasilkan proses yang direka untuk memuat turun alat tambahan dengan tujuan untuk mewujudkan kegigihan dan menyediakan alat kawalan jauh.

Alat tambahan yang terlibat dalam serangan ini termasuk Pengurusan dan Keselamatan Titik Akhir Bersatu ManageEngine (UEMS), AnyDesk dan Plink. Terutama, pelaku ancaman telah diperhatikan menyahpasang perisian Sophos, menukar kata laluan akaun pentadbir, dan mencipta terowong RDP melalui Plink. Rantaian serangan akhirnya menghasilkan penggunaan CACTUS Ransomware, dengan penyerang juga menggunakan klon untuk exfiltration data. Strategi serangan komprehensif ini menekankan sifat canggih dan pelbagai peringkat kempen CACTUS Ransomware.

Pelakon Ancaman Ransomware Mengembangkan Teknik Mereka

Kemunculan CACTUS Ransomware mencerminkan peningkatan kecanggihan landskap ancaman ransomware. Ekonomi bawah tanah telah berkembang untuk menyokong serangan berskala besar melalui rangkaian broker akses awal dan pemilik botnet. Entiti ini menjual semula akses kepada sistem mangsa kepada berbilang pelakon gabungan, menyumbang kepada pengembangan ancaman perisian tebusan.

Walaupun usaha global oleh kerajaan untuk memerangi perisian tebusan, model perniagaan Ransomware-as-a-Service (RaaS) kekal sebagai kaedah yang berdaya tahan dan menguntungkan untuk memeras wang daripada sasaran. Jangka hayat dan keuntungan model ini berterusan, membolehkan pelaku ancaman menyesuaikan diri dan meneruskan aktiviti terlarang mereka.

Satu kumpulan perisian tebusan yang terkenal, Black Basta , memasuki tempat kejadian pada April 2022 dan dianggarkan telah mengumpul keuntungan haram melebihi $107 juta dalam pembayaran tebusan Bitcoin daripada lebih 90 mangsa. Penyelidikan bersama baru-baru ini telah mendedahkan bahawa sebahagian besar dana ini telah dicuci melalui Garantex, pertukaran mata wang kripto Rusia yang dibenarkan oleh kerajaan AS pada April 2022 untuk memudahkan transaksi dengan pasaran Hydra Dark Net.

Tambahan pula, analisis telah mendedahkan hubungan antara Black Basta dan kumpulan jenayah siber Rusia yang kini tidak berfungsi , Conti, yang menghentikan operasi sekitar masa yang sama dengan kemunculan Black Basta. Selain itu, hubungan dengan QakBot , alat yang digunakan dalam menggunakan perisian tebusan, telah dikenal pasti. Jaringan persatuan yang rumit ini menggariskan sifat kompleks dan saling berkaitan operasi perisian tebusan moden.