CACTUS-ransomware

Cybersecurity-onderzoekers waarschuwen voor een CACTUS Ransomware-campagne die inspeelt op nieuw onthulde beveiligingskwetsbaarheden binnen Qlik Sense, een cloudanalyse- en business intelligence-platform. Deze campagne vertegenwoordigt een opmerkelijke ontwikkeling omdat het het eerste gedocumenteerde geval is waarin kwaadwillende actoren die de CACTUS Ransomware gebruiken, kwetsbaarheden in de Qlik Sense hebben misbruikt als hun primaire methode om initiële toegang te krijgen tot gerichte omgevingen. Dit onderstreept de evoluerende tactieken die door bedreigingsactoren worden gebruikt om zwakheden in populaire softwareplatforms te misbruiken voor ongeoorloofde toegang en potentiële gegevenscompromis.

De CACTUS Ransomware wordt geleverd via verschillende softwarekwetsbaarheden

Cybersecurity-analisten hebben een reeks aanvallen geïdentificeerd die misbruik lijken te maken van drie onthulde kwetsbaarheden die zich over meerdere maanden uitstrekken:

• CVE-2023-41265 (CVSS-score: 9,9) - Bij deze kwetsbaarheid gaat het om HTTP Request Tunneling, waardoor een aanvaller op afstand zijn bevoegdheden kan verhogen en verzoeken kan verzenden die worden uitgevoerd door de backend-server die als host fungeert voor de repository-applicatie.
• CVE-2023-41266 (CVSS-score: 6,5) - Een kwetsbaarheid bij het doorlopen van paden waardoor een niet-geverifieerde externe aanvaller HTTP-verzoeken naar ongeautoriseerde eindpunten kan verzenden.
• CVE-2023-48365 (CVSS-score: 9,9) - Een niet-geverifieerde kwetsbaarheid voor het uitvoeren van code op afstand als gevolg van onjuiste validatie van HTTP-headers, waardoor een aanvaller op afstand zijn bevoegdheden kan verhogen door HTTP-verzoeken te tunnelen.

Het is belangrijk op te merken dat CVE-2023-48365 een gevolg is van een onvolledige patch voor CVE-2023-41265. Beide kwetsbaarheden werden, samen met CVE-2023-41266, eind augustus 2023 onthuld en op 20 september 2023 werd een oplossing voor CVE-2023-48365 geïmplementeerd.

Bij de waargenomen CACTUS Ransomware-aanvallen worden de geïdentificeerde kwetsbaarheden uitgebuit, wat leidt tot misbruik van de Qlik Sense Scheduler-service. Hierdoor kunnen de aanvallers processen voortbrengen die zijn ontworpen om extra tools te downloaden met als doel persistentie tot stand te brengen en controle op afstand in te stellen.

De extra tools die bij deze aanvallen betrokken zijn, zijn onder meer ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk en Plink. Er is met name waargenomen dat de bedreigingsactoren Sophos-software verwijderden, het wachtwoord van de beheerdersaccount veranderden en een RDP-tunnel creëerden via Plink. De aanvalsketens resulteren uiteindelijk in de inzet van de CACTUS Ransomware, waarbij de aanvallers ook klonen gebruiken voor gegevensexfiltratie. Deze alomvattende aanvalsstrategie onderstreept het geavanceerde en uit meerdere fasen bestaande karakter van de CACTUS Ransomware-campagne.

Ransomwarebedreigingsactoren evolueren hun technieken

De opkomst van de CACTUS Ransomware weerspiegelt de toenemende verfijning van het ransomware-bedreigingslandschap. De ondergrondse economie is geëvolueerd om grootschalige aanvallen te ondersteunen via een netwerk van initiële toegangsmakelaars en botneteigenaren. Deze entiteiten verkopen de toegang tot slachtoffersystemen door aan meerdere aangesloten actoren, wat bijdraagt aan de uitbreiding van ransomware-bedreigingen.

Ondanks de wereldwijde inspanningen van overheden om ransomware te bestrijden, blijft het Ransomware-as-a-Service (RaaS) bedrijfsmodel een veerkrachtige en winstgevende methode om geld van doelwitten af te persen. De levensduur en winstgevendheid van dit model blijven bestaan, waardoor dreigingsactoren zich kunnen aanpassen en hun illegale activiteiten kunnen voortzetten.

Een opmerkelijke ransomwaregroep, Black Basta , verscheen in april 2022 op het toneel en heeft naar schatting illegale winsten van meer dan $107 miljoen aan Bitcoin-losgeld van meer dan 90 slachtoffers vergaard. Uit recent gezamenlijk onderzoek is gebleken dat een aanzienlijk deel van deze fondsen werd witgewassen via Garantex, een Russische cryptocurrency-uitwisseling die in april 2022 door de Amerikaanse overheid werd goedgekeurd voor het faciliteren van transacties met de Hydra Dark Net-marktplaats.

Bovendien heeft de analyse verbanden blootgelegd tussen Black Basta en de inmiddels ter ziele gegane Russische cybercriminaliteitsgroep Conti, die rond dezelfde tijd met de opkomst van Black Basta haar activiteiten stopzette. Bovendien zijn er banden geïdentificeerd met QakBot , een tool die wordt gebruikt bij het inzetten van de ransomware. Dit ingewikkelde web van associaties onderstreept het complexe en onderling verbonden karakter van moderne ransomware-operaties.