CACTUS Ransomware

ਸਾਈਬਰਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਇੱਕ CACTUS Ransomware ਮੁਹਿੰਮ ਬਾਰੇ ਚੇਤਾਵਨੀ ਦੇ ਰਹੇ ਹਨ ਜੋ ਕਿ ਕਿਲਿਕ ਸੈਂਸ, ਇੱਕ ਕਲਾਉਡ ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਵਪਾਰਕ ਖੁਫੀਆ ਪਲੇਟਫਾਰਮ ਦੇ ਅੰਦਰ ਨਵੇਂ ਖੁਲਾਸੇ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਪੂੰਜੀ ਦੇ ਰਿਹਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਇੱਕ ਧਿਆਨ ਦੇਣ ਯੋਗ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿਉਂਕਿ ਇਹ ਪਹਿਲੇ ਦਸਤਾਵੇਜ਼ੀ ਕੇਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜਿੱਥੇ CACTUS Ransomware ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਖਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਨੇ ਨਿਸ਼ਾਨਾ ਵਾਤਾਵਰਣ ਵਿੱਚ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਉਹਨਾਂ ਦੇ ਪ੍ਰਾਇਮਰੀ ਢੰਗ ਵਜੋਂ Qlik Sense ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਇਆ ਹੈ। ਇਹ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਅਤੇ ਸੰਭਾਵੀ ਡੇਟਾ ਸਮਝੌਤਾ ਲਈ ਪ੍ਰਸਿੱਧ ਸੌਫਟਵੇਅਰ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤੇ ਉੱਭਰਦੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ।

CACTUS Ransomware ਨੂੰ ਕਈ ਸਾਫਟਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਲੜੀ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ ਕਈ ਮਹੀਨਿਆਂ ਵਿੱਚ ਫੈਲੀਆਂ ਤਿੰਨ ਖੁਲਾਸੇ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਪ੍ਰਤੀਤ ਹੁੰਦੇ ਹਨ:

• CVE-2023-41265 (CVSS ਸਕੋਰ: 9.9) - ਇਸ ਕਮਜ਼ੋਰੀ ਵਿੱਚ HTTP ਬੇਨਤੀ ਟਨਲਿੰਗ ਸ਼ਾਮਲ ਹੈ, ਇੱਕ ਰਿਮੋਟ ਹਮਲਾਵਰ ਨੂੰ ਉਹਨਾਂ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਉੱਚਾ ਚੁੱਕਣ ਅਤੇ ਰਿਪੋਜ਼ਟਰੀ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਵਾਲੇ ਬੈਕਐਂਡ ਸਰਵਰ ਦੁਆਰਾ ਲਾਗੂ ਕੀਤੀਆਂ ਬੇਨਤੀਆਂ ਭੇਜਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
• CVE-2023-41266 (CVSS ਸਕੋਰ: 6.5) - ਇੱਕ ਪਾਥ ਟ੍ਰਾਵਰਸਲ ਕਮਜ਼ੋਰੀ ਜੋ ਇੱਕ ਅਣ-ਪ੍ਰਮਾਣਿਤ, ਰਿਮੋਟ ਹਮਲਾਵਰ ਨੂੰ HTTP ਬੇਨਤੀਆਂ ਨੂੰ ਅਣਅਧਿਕਾਰਤ ਅੰਤਮ ਬਿੰਦੂਆਂ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।
• CVE-2023-48365 (CVSS ਸਕੋਰ: 9.9) - HTTP ਸਿਰਲੇਖਾਂ ਦੀ ਗਲਤ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਇੱਕ ਅਣ-ਪ੍ਰਮਾਣਿਤ, ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਕਮਜ਼ੋਰੀ, ਇੱਕ ਰਿਮੋਟ ਹਮਲਾਵਰ ਨੂੰ HTTP ਬੇਨਤੀਆਂ ਨੂੰ ਸੁਰੰਗ ਕਰਕੇ ਆਪਣੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਉੱਚਾ ਚੁੱਕਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਇਹ ਨੋਟ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ CVE-2023-48365 CVE-2023-41265 ਲਈ ਇੱਕ ਅਧੂਰੇ ਪੈਚ ਦਾ ਨਤੀਜਾ ਹੈ। CVE-2023-41266 ਦੇ ਨਾਲ ਦੋਵੇਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਖੁਲਾਸਾ ਅਗਸਤ 2023 ਦੇ ਅਖੀਰ ਵਿੱਚ ਕੀਤਾ ਗਿਆ ਸੀ, ਅਤੇ CVE-2023-48365 ਲਈ ਇੱਕ ਫਿਕਸ 20 ਸਤੰਬਰ, 2023 ਨੂੰ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਸੀ।

ਦੇਖੇ ਗਏ CACTUS Ransomware ਹਮਲਿਆਂ ਵਿੱਚ, ਪਛਾਣੀਆਂ ਗਈਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ Qlik Sense Scheduler ਸੇਵਾ ਦੀ ਦੁਰਵਰਤੋਂ ਹੁੰਦੀ ਹੈ। ਇਹ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਸਥਾਪਤ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਅਤਿਰਿਕਤ ਸਾਧਨਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਪੈਦਾ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਵਾਧੂ ਸਾਧਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ ManageEngine ਯੂਨੀਫਾਈਡ ਐਂਡਪੁਆਇੰਟ ਮੈਨੇਜਮੈਂਟ ਅਤੇ ਸੁਰੱਖਿਆ (UEMS), AnyDesk, ਅਤੇ Plink. ਖਾਸ ਤੌਰ 'ਤੇ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਸੋਫੋਸ ਸੌਫਟਵੇਅਰ ਨੂੰ ਅਣਇੰਸਟੌਲ ਕਰਦੇ ਹੋਏ, ਪ੍ਰਸ਼ਾਸਕ ਖਾਤੇ ਦਾ ਪਾਸਵਰਡ ਬਦਲਦੇ ਹੋਏ, ਅਤੇ ਪਲਿੰਕ ਦੁਆਰਾ ਇੱਕ RDP ਸੁਰੰਗ ਬਣਾਉਣਾ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਹਮਲੇ ਦੀਆਂ ਚੇਨਾਂ ਦਾ ਨਤੀਜਾ ਆਖਿਰਕਾਰ CACTUS ਰੈਨਸਮਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਵਿੱਚ ਹੁੰਦਾ ਹੈ, ਹਮਲਾਵਰ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਕਲੋਨ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰਦੇ ਹਨ। ਇਹ ਵਿਆਪਕ ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ CACTUS Ransomware ਮੁਹਿੰਮ ਦੀ ਸੂਝਵਾਨ ਅਤੇ ਬਹੁ-ਪੜਾਵੀ ਪ੍ਰਕਿਰਤੀ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ।

ਰੈਨਸਮਵੇਅਰ ਥ੍ਰੇਟ ਐਕਟਰ ਆਪਣੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਵਿਕਸਿਤ ਕਰ ਰਹੇ ਹਨ

CACTUS Ransomware ਦਾ ਉਭਾਰ ਰੈਨਸਮਵੇਅਰ ਖ਼ਤਰੇ ਦੇ ਲੈਂਡਸਕੇਪ ਦੀ ਵੱਧ ਰਹੀ ਸੂਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਭੂਮੀਗਤ ਅਰਥ-ਵਿਵਸਥਾ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲਾਂ ਅਤੇ ਬੋਟਨੈੱਟ ਮਾਲਕਾਂ ਦੇ ਇੱਕ ਨੈਟਵਰਕ ਦੁਆਰਾ ਵੱਡੇ ਪੈਮਾਨੇ ਦੇ ਹਮਲਿਆਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਵਿਕਸਤ ਹੋਈ ਹੈ। ਇਹ ਸੰਸਥਾਵਾਂ ਰੈਨਸਮਵੇਅਰ ਖਤਰਿਆਂ ਦੇ ਵਿਸਤਾਰ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਉਂਦੇ ਹੋਏ, ਮਲਟੀਪਲ ਐਫੀਲੀਏਟ ਐਕਟਰਾਂ ਨੂੰ ਪੀੜਤ ਪ੍ਰਣਾਲੀਆਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਮੁੜ ਵੇਚਦੀਆਂ ਹਨ।

ਰੈਨਸਮਵੇਅਰ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਸਰਕਾਰਾਂ ਦੁਆਰਾ ਵਿਸ਼ਵਵਿਆਪੀ ਯਤਨਾਂ ਦੇ ਬਾਵਜੂਦ, ਰੈਨਸਮਵੇਅਰ-ਏ-ਏ-ਸਰਵਿਸ (RaaS) ਵਪਾਰਕ ਮਾਡਲ ਟੀਚਿਆਂ ਤੋਂ ਪੈਸਾ ਕੱਢਣ ਲਈ ਇੱਕ ਲਚਕੀਲਾ ਅਤੇ ਲਾਭਦਾਇਕ ਤਰੀਕਾ ਹੈ। ਇਸ ਮਾਡਲ ਦੀ ਲੰਬੀ ਉਮਰ ਅਤੇ ਮੁਨਾਫ਼ਾ ਬਰਕਰਾਰ ਰਹਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੀਆਂ ਨਾਜਾਇਜ਼ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣ ਅਤੇ ਜਾਰੀ ਰੱਖਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ।

ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ, ਬਲੈਕ ਬਸਟਾ , ਅਪ੍ਰੈਲ 2022 ਵਿੱਚ ਸੀਨ ਵਿੱਚ ਦਾਖਲ ਹੋਇਆ ਸੀ ਅਤੇ ਅੰਦਾਜ਼ਾ ਲਗਾਇਆ ਗਿਆ ਹੈ ਕਿ ਉਸਨੇ 90 ਤੋਂ ਵੱਧ ਪੀੜਤਾਂ ਤੋਂ ਬਿਟਕੋਇਨ ਰਿਹਾਈ ਦੀ ਅਦਾਇਗੀ ਵਿੱਚ $107 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਦਾ ਨਾਜਾਇਜ਼ ਮੁਨਾਫਾ ਕਮਾਇਆ ਹੈ। ਹਾਲੀਆ ਸੰਯੁਕਤ ਖੋਜ ਨੇ ਇਹ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ ਕਿ ਇਹਨਾਂ ਫੰਡਾਂ ਦੇ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸੇ ਨੂੰ Garantex ਦੁਆਰਾ ਲਾਂਡਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਇੱਕ ਰੂਸੀ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਐਕਸਚੇਂਜ ਜੋ ਅਪ੍ਰੈਲ 2022 ਵਿੱਚ ਹਾਈਡ੍ਰਾ ਡਾਰਕ ਨੈੱਟ ਮਾਰਕੀਟਪਲੇਸ ਨਾਲ ਲੈਣ-ਦੇਣ ਦੀ ਸਹੂਲਤ ਲਈ ਅਮਰੀਕੀ ਸਰਕਾਰ ਦੁਆਰਾ ਮਨਜ਼ੂਰ ਕੀਤਾ ਗਿਆ ਸੀ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਬਲੈਕ ਬਸਤਾ ਅਤੇ ਹੁਣ ਬੰਦ ਹੋ ਚੁੱਕੇ ਰੂਸੀ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਗਰੁੱਪ ਕੌਂਟੀ ਵਿਚਕਾਰ ਸਬੰਧਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ, ਜਿਸ ਨੇ ਬਲੈਕ ਬਸਤਾ ਦੇ ਉਭਾਰ ਦੇ ਨਾਲ ਹੀ ਕੰਮ ਕਰਨਾ ਬੰਦ ਕਰ ਦਿੱਤਾ ਸੀ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕਵਾਕਬੋਟ ਨਾਲ ਸਬੰਧਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਕਿ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਐਸੋਸੀਏਸ਼ਨਾਂ ਦਾ ਇਹ ਗੁੰਝਲਦਾਰ ਵੈੱਬ ਆਧੁਨਿਕ ਰੈਨਸਮਵੇਅਰ ਕਾਰਜਾਂ ਦੇ ਗੁੰਝਲਦਾਰ ਅਤੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਸੁਭਾਅ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ।