CACTUS Ransomware

Cybersikkerhetsforskere advarer om en CACTUS Ransomware-kampanje som utnytter nylig avslørte sikkerhetssårbarheter i Qlik Sense, en skyanalyse- og forretningsintelligensplattform. Denne kampanjen representerer en bemerkelsesverdig utvikling ettersom den betegner det første dokumenterte tilfellet der ondsinnede aktører som bruker CACTUS Ransomware har utnyttet sårbarheter i Qlik Sense som sin primære metode for å få innledende tilgang til målrettede miljøer. Dette understreker den utviklende taktikken som brukes av trusselaktører for å utnytte svakheter i populære programvareplattformer for uautorisert tilgang og potensielt datakompromittering.

CACTUS Ransomware leveres via flere programvaresårbarheter

Cybersikkerhetsanalytikere har identifisert en serie angrep som ser ut til å utnytte tre avslørte sårbarheter som strekker seg over flere måneder:

• CVE-2023-41265 (CVSS-score: 9,9) – Dette sikkerhetsproblemet involverer HTTP Request Tunneling, som gjør det mulig for en ekstern angriper å heve privilegiene sine og sende forespørsler utført av backend-serveren som er vert for depotapplikasjonen.
• CVE-2023-41266 (CVSS-poengsum: 6,5) – En stigjennomgangssårbarhet som lar en uautentisert ekstern angriper overføre HTTP-forespørsler til uautoriserte endepunkter.
• CVE-2023-48365 (CVSS-poengsum: 9,9) - Et uautentisert sikkerhetsproblem med ekstern kjøring av kode som er et resultat av feilaktig validering av HTTP-hoder, som lar en ekstern angriper heve privilegiene sine gjennom tunnelering av HTTP-forespørsler.

Det er viktig å merke seg at CVE-2023-48365 er en konsekvens av en ufullstendig oppdatering for CVE-2023-41265. Begge sårbarhetene, sammen med CVE-2023-41266, ble avslørt i slutten av august 2023, og en løsning for CVE-2023-48365 ble implementert 20. september 2023.

I de observerte CACTUS Ransomware-angrepene blir de identifiserte sårbarhetene utnyttet, noe som fører til misbruk av Qlik Sense Scheduler-tjenesten. Dette gjør det mulig for angriperne å skape prosesser designet for å laste ned tilleggsverktøy med sikte på å etablere utholdenhet og sette opp fjernkontroll.

De ekstra verktøyene som er involvert i disse angrepene inkluderer ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk og Plink. Spesielt har trusselaktørene blitt observert ved å avinstallere Sophos-programvare, endre administratorkontopassordet og opprette en RDP-tunnel via Plink. Angrepskjedene resulterer til slutt i utplasseringen av CACTUS Ransomware, hvor angriperne også bruker kloner for dataeksfiltrering. Denne omfattende angrepsstrategien understreker den sofistikerte og flertrinns karakteren til CACTUS Ransomware-kampanjen.

Ransomware-trusselaktører utvikler sine teknikker

Fremveksten av CACTUS Ransomware gjenspeiler den økende sofistikeringen av ransomware-trussellandskapet. Den underjordiske økonomien har utviklet seg til å støtte store angrep gjennom et nettverk av innledende tilgangsmeglere og botnett-eiere. Disse enhetene videreselger tilgang til offersystemer til flere tilknyttede aktører, og bidrar til utvidelsen av løsepengevaretrusler.

Til tross for globale anstrengelser fra myndigheter for å bekjempe løsepengevare, er forretningsmodellen Ransomware-as-a-Service (RaaS) fortsatt en robust og lønnsom metode for å presse penger fra mål. Levetiden og lønnsomheten til denne modellen vedvarer, og lar trusselaktører tilpasse seg og fortsette sine ulovlige aktiviteter.

En bemerkelsesverdig løsepengevaregruppe, Black Basta , entret scenen i april 2022 og anslås å ha samlet ulovlig fortjeneste på over 107 millioner dollar i Bitcoin løsepenger fra over 90 ofre. Nylig felles forskning har avslørt at en betydelig del av disse midlene ble hvitvasket gjennom Garantex, en russisk kryptovalutabørs sanksjonert av amerikanske myndigheter i april 2022 for å forenkle transaksjoner med Hydra Dark Net-markedet.

Videre har analysen avdekket forbindelser mellom Black Basta og den nå nedlagte russiske nettkriminalitetsgruppen Conti, som avsluttet virksomheten omtrent samtidig som Black Bastas fremvekst. I tillegg er bånd til QakBot , et verktøy som brukes til å distribuere løsepengevaren, identifisert. Dette intrikate nettet av assosiasjoner understreker den komplekse og sammenkoblede naturen til moderne løsepengevareoperasjoner.