Oprogramowanie ransomware CACTUS

Badacze cyberbezpieczeństwa ostrzegają przed kampanią CACTUS Ransomware wykorzystującą nowo ujawnione luki w zabezpieczeniach Qlik Sense, platformy do analityki w chmurze i analizy biznesowej. Ta kampania stanowi godne odnotowania osiągnięcie, ponieważ oznacza pierwszy udokumentowany przypadek, w którym złośliwi przestępcy wykorzystujący oprogramowanie CACTUS Ransomware wykorzystali luki w zabezpieczeniach Qlik Sense jako podstawową metodę uzyskania wstępnego dostępu do docelowych środowisk. Podkreśla to ewoluującą taktykę stosowaną przez podmioty zagrażające w celu wykorzystania słabości popularnych platform oprogramowania w celu uzyskania nieautoryzowanego dostępu i potencjalnego naruszenia bezpieczeństwa danych.

Oprogramowanie ransomware CACTUS jest dostarczane poprzez kilka luk w oprogramowaniu

Analitycy cyberbezpieczeństwa zidentyfikowali serię ataków, które prawdopodobnie wykorzystywały trzy luki ujawnione w ciągu kilku miesięcy:

• CVE-2023-41265 (wynik CVSS: 9,9) — ta luka obejmuje tunelowanie żądań HTTP, umożliwiając zdalnemu atakującemu podniesienie swoich uprawnień i wysyłanie żądań wykonywanych przez serwer zaplecza hostujący aplikację repozytorium.
• CVE-2023-41266 (wynik CVSS: 6,5) – luka w zabezpieczeniach umożliwiająca przekroczenie ścieżki, która umożliwia nieuwierzytelnionemu zdalnemu atakującemu przesyłanie żądań HTTP do nieautoryzowanych punktów końcowych.
• CVE-2023-48365 (wynik CVSS: 9,9) — luka w zabezpieczeniach umożliwiająca nieuwierzytelnione zdalne wykonanie kodu wynikająca z nieprawidłowej weryfikacji nagłówków HTTP, umożliwiająca zdalnemu atakującemu podniesienie swoich uprawnień poprzez tunelowanie żądań HTTP.

Należy zauważyć, że CVE-2023-48365 jest konsekwencją niekompletnej łatki dla CVE-2023-41265. Obie luki, wraz z CVE-2023-41266, zostały ujawnione pod koniec sierpnia 2023 r., a poprawka dla CVE-2023-48365 została wdrożona 20 września 2023 r.

W obserwowanych atakach CACTUS Ransomware wykorzystywane są zidentyfikowane luki, co prowadzi do niewłaściwego wykorzystania usługi Qlik Sense Scheduler. Umożliwia to atakującym uruchomienie procesów zaprojektowanych w celu pobrania dodatkowych narzędzi w celu ustalenia trwałości i skonfigurowania zdalnego sterowania.

Dodatkowe narzędzia wykorzystywane w tych atakach obejmują ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk i Plink. Warto zauważyć, że zaobserwowano, że ugrupowania zagrażające odinstalowały oprogramowanie Sophos, zmieniły hasło do konta administratora i utworzyły tunel RDP za pośrednictwem Plink. Łańcuchy ataków ostatecznie kończą się wdrożeniem oprogramowania ransomware CACTUS, przy czym napastnicy wykorzystują również klony do eksfiltracji danych. Ta wszechstronna strategia ataku podkreśla wyrafinowany i wieloetapowy charakter kampanii CACTUS Ransomware.

Podmioty atakujące oprogramowanie ransomware ewoluują swoje techniki

Pojawienie się oprogramowania ransomware CACTUS odzwierciedla rosnące wyrafinowanie krajobrazu zagrożeń związanych z oprogramowaniem ransomware. Podziemna gospodarka ewoluowała, aby wspierać ataki na dużą skalę za pośrednictwem sieci brokerów pierwszego dostępu i właścicieli botnetów. Podmioty te odsprzedają dostęp do systemów ofiar wielu podmiotom stowarzyszonym, przyczyniając się do ekspansji zagrożeń oprogramowaniem ransomware.

Pomimo światowych wysiłków rządów mających na celu zwalczanie oprogramowania ransomware, model biznesowy typu ransomware-as-a-service (RaaS) pozostaje odporną i opłacalną metodą wyłudzania pieniędzy od celów. Długowieczność i rentowność tego modelu utrzymują się, co pozwala podmiotom zagrażającym dostosować się i kontynuować nielegalną działalność.

Jedna ze znaczących grup zajmujących się oprogramowaniem ransomware, Black Basta , pojawiła się na scenie w kwietniu 2022 r. i szacuje się, że zgromadziła nielegalne zyski przekraczające 107 milionów dolarów w formie okupu w Bitcoinach od ponad 90 ofiar. Niedawne wspólne badanie ujawniło, że znaczna część tych środków została wyprana za pośrednictwem Garantex, rosyjskiej giełdy kryptowalut, na którą w kwietniu 2022 r. nałożył sankcje rząd USA za ułatwianie transakcji na rynku Hydra Dark Net.

Co więcej, analiza ujawniła powiązania między Black Bastą a nieistniejącą już rosyjską grupą cyberprzestępczą Conti, która zaprzestała działalności mniej więcej w tym samym czasie, gdy pojawiła się Black Basta. Ponadto zidentyfikowano powiązania z QakBot , narzędziem używanym do wdrażania oprogramowania ransomware. Ta skomplikowana sieć powiązań podkreśla złożoną i powiązaną naturę współczesnych operacji ransomware.