CACTUS Ransomware

Os pesquisadores de segurança cibernética estão alertando sobre uma campanha do CACTUS Ransomware, que capitaliza as vulnerabilidades de segurança recentemente divulgadas no Qlik Sense, uma plataforma de análise em nuvem e inteligência de negócios. Esta campanha representa um desenvolvimento digno de nota, pois representa o primeiro caso documentado em que atores mal-intencionados que utilizam o CACTUS Ransomware aproveitaram vulnerabilidades no Qlik Sense como método principal para obter acesso inicial a ambientes direcionados. Isto sublinha a evolução das tácticas utilizadas pelos agentes de ameaças para explorar fraquezas em plataformas de software populares para acesso não autorizado e potencial comprometimento de dados.

O CACTUS Ransomware é Entregue através de Diversas Vulnerabilidades de Software

Analistas de segurança cibernética identificaram uma série de ataques que parecem explorar três vulnerabilidades divulgadas durante vários meses:

• • CVE-2023-41265 (pontuação CVSS: 9,9) – Esta vulnerabilidade envolve túnel de solicitação HTTP, permitindo que um invasor remoto eleve seus privilégios e envie solicitações executadas pelo servidor back-end que hospeda o aplicativo de repositório.

• • CVE-2023-41266 (pontuação CVSS: 6,5) – Uma vulnerabilidade de passagem de caminho que permite que um invasor remoto não autenticado transmita solicitações HTTP para endpoints não autorizados.

• • CVE-2023-48365 (pontuação CVSS: 9,9) – Uma vulnerabilidade de execução remota de código não autenticada resultante da validação inadequada de cabeçalhos HTTP, permitindo que um invasor remoto eleve seus privilégios por meio de solicitações HTTP de tunelamento.

É importante observar que CVE-2023-48365 é consequência de um patch incompleto para CVE-2023-41265. Ambas as vulnerabilidades, juntamente com CVE-2023-41266, foram divulgadas no final de agosto de 2023, e uma correção para CVE-2023-48365 foi implementada em 20 de setembro de 2023.

Nos ataques observados do CACTUS Ransomware, as vulnerabilidades identificadas são exploradas, levando ao uso indevido do serviço Qlik Sense Scheduler. Isso permite que os invasores gerem processos projetados para baixar ferramentas adicionais com o objetivo de estabelecer persistência e configurar o controle remoto.

As ferramentas adicionais envolvidas nesses ataques incluem ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk e Plink. Notavelmente, os agentes da ameaça foram observados desinstalando o software Sophos, alterando a senha da conta do administrador e criando um túnel RDP via Plink. As cadeias de ataque resultam, em última análise, na implantação do CACTUS Ransomware, com os invasores também utilizando clones para exfiltração de dados. Esta estratégia de ataque abrangente ressalta a natureza sofisticada e de vários estágios da campanha do CACTUS Ransomware.

Os Autores de Ameaças de Ransomware estão Aperfeiçoando Suas Técnicas

O surgimento do CACTUS Ransomware reflete a crescente sofisticação do cenário de ameaças de ransomware. A economia subterrânea evoluiu para apoiar ataques em grande escala através de uma rede de corretores de acesso inicial e proprietários de botnets. Estas entidades revendem o acesso aos sistemas das vítimas a vários atores afiliados, contribuindo para a expansão das ameaças de ransomware.

Apesar dos esforços globais dos governos para combater o ransomware, o modelo de negócio Ransomware-as-a-Service (RaaS) continua a ser um método resiliente e rentável para extorquir dinheiro dos alvos. A longevidade e a rentabilidade deste modelo persistem, permitindo que os intervenientes nas ameaças se adaptem e continuem as suas atividades ilícitas.

Um notável grupo de ransomware, Black Basta, entrou em cena em abril de 2022 e estima-se que tenha acumulado lucros ilícitos superiores a US$ 107 milhões em pagamentos de resgate em Bitcoin de mais de 90 vítimas. Uma pesquisa conjunta recente revelou que uma parte significativa desses fundos foi lavada através da Garantex, uma bolsa russa de criptomoedas sancionada pelo governo dos EUA em abril de 2022 por facilitar transações com o mercado Hydra Dark Net.

Além disso, a análise revelou ligações entre o Black Basta e o agora extinto grupo russo de cibercrime Conti, que cessou as operações na mesma altura que o surgimento do Black Basta. Além disso, foram identificadas ligações com o QakBot, uma ferramenta usada na implantação do ransomware. Essa intrincada rede de associações ressalta a natureza complexa e interconectada das operações modernas de ransomware.