CACTUS Ransomware

Cercetătorii în domeniul securității cibernetice avertizează cu privire la o campanie CACTUS Ransomware care valorifică vulnerabilitățile de securitate recent dezvăluite în cadrul Qlik Sense, o platformă de analiză cloud și business intelligence. Această campanie reprezintă o dezvoltare demnă de remarcat, deoarece semnifică primul caz documentat în care actorii rău intenționați care utilizează ransomware-ul CACTUS au folosit vulnerabilitățile din Qlik Sense ca metodă principală pentru a obține acces inițial în mediile vizate. Acest lucru subliniază evoluția tacticilor folosite de actorii amenințărilor pentru a exploata punctele slabe ale platformelor software populare pentru acces neautorizat și potențial compromis al datelor.

Ransomware-ul CACTUS este livrat prin mai multe vulnerabilități software

Analiștii de securitate cibernetică au identificat o serie de atacuri care par să exploateze trei vulnerabilități dezvăluite pe câteva luni:

• CVE-2023-41265 (Scor CVSS: 9,9) - Această vulnerabilitate implică HTTP Request Tunneling, permițând unui atacator la distanță să-și ridice privilegiile și să trimită cereri executate de serverul backend care găzduiește aplicația de depozit.
• CVE-2023-41266 (Scor CVSS: 6,5) - O vulnerabilitate de traversare a căii care permite unui atacator la distanță neautentificat să transmită cereri HTTP către punctele finale neautorizate.
• CVE-2023-48365 (scor CVSS: 9,9) - O vulnerabilitate neautentificată, la execuția codului de la distanță, rezultată din validarea necorespunzătoare a antetelor HTTP, permițând unui atacator de la distanță să-și ridice privilegiile prin tunelarea solicitărilor HTTP.

Este important de reținut că CVE-2023-48365 este o consecință a unui patch incomplet pentru CVE-2023-41265. Ambele vulnerabilități, împreună cu CVE-2023-41266, au fost dezvăluite la sfârșitul lunii august 2023, iar o remediere pentru CVE-2023-48365 a fost implementată pe 20 septembrie 2023.

În atacurile observate CACTUS Ransomware, vulnerabilitățile identificate sunt exploatate, ceea ce duce la utilizarea greșită a serviciului Qlik Sense Scheduler. Acest lucru le permite atacatorilor să declanșeze procese concepute pentru a descărca instrumente suplimentare cu scopul de a stabili persistența și de a configura controlul de la distanță.

Instrumentele suplimentare implicate în aceste atacuri includ ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk și Plink. În special, actorii amenințărilor au fost observați dezinstalând software-ul Sophos, schimbând parola contului de administrator și creând un tunel RDP prin Plink. Lanțurile de atac au ca rezultat implementarea ransomware-ului CACTUS, atacatorii utilizând și clone pentru exfiltrarea datelor. Această strategie cuprinzătoare de atac subliniază natura sofisticată și în mai multe etape a campaniei CACTUS Ransomware.

Actorii amenințărilor ransomware își dezvoltă tehnicile

Apariția ransomware-ului CACTUS reflectă sofisticarea tot mai mare a peisajului amenințărilor ransomware. Economia subterană a evoluat pentru a susține atacuri la scară largă printr-o rețea de brokeri de acces inițial și proprietari de botnet. Aceste entități revind accesul la sistemele victimelor mai multor actori afiliați, contribuind la extinderea amenințărilor ransomware.

În ciuda eforturilor globale ale guvernelor de a combate ransomware-ul, modelul de afaceri Ransomware-as-a-Service (RaaS) rămâne o metodă rezistentă și profitabilă pentru a storca bani de la ținte. Longevitatea și rentabilitatea acestui model persistă, permițând actorilor amenințări să se adapteze și să-și continue activitățile ilicite.

Un grup notabil de ransomware, Black Basta , a intrat în scenă în aprilie 2022 și se estimează că a acumulat profituri ilicite de peste 107 milioane USD în plăți de răscumpărare Bitcoin de la peste 90 de victime. Cercetări comune recente au arătat că o parte semnificativă a acestor fonduri a fost spălată prin Garantex, un schimb de criptomonede rus, sancționat de guvernul SUA în aprilie 2022 pentru facilitarea tranzacțiilor cu piața Hydra Dark Net.

Mai mult, analiza a scos la iveală legături între Black Basta și grupul rus de criminalitate cibernetică Conti, care și-a încetat activitatea în același timp cu apariția lui Black Basta. În plus, au fost identificate legături cu QakBot , un instrument folosit în implementarea ransomware-ului. Această rețea complicată de asociații subliniază natura complexă și interconectată a operațiunilor moderne de ransomware.