КАКТУС-вымогатель

Исследователи кибербезопасности предупреждают о кампании CACTUS Ransomware, использующей недавно обнаруженные уязвимости безопасности в Qlik Sense, платформе облачной аналитики и бизнес-аналитики. Эта кампания представляет собой примечательное событие, поскольку она означает первый задокументированный случай, когда злоумышленники, использующие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense в качестве основного метода для получения первоначального доступа к целевым средам. Это подчеркивает развивающуюся тактику, используемую злоумышленниками для использования слабых мест популярных программных платформ для несанкционированного доступа и потенциальной компрометации данных.

Программа-вымогатель CACTUS доставляется через несколько уязвимостей в программном обеспечении

Аналитики кибербезопасности выявили серию атак, которые, судя по всему, используют три обнаруженные уязвимости и продолжались несколько месяцев:

• CVE-2023-41265 (оценка CVSS: 9,9). Эта уязвимость связана с туннелированием HTTP-запросов, что позволяет удаленному злоумышленнику повысить свои привилегии и отправлять запросы, выполняемые внутренним сервером, на котором размещено приложение-репозиторий.
• CVE-2023-41266 (оценка CVSS: 6,5) — уязвимость обхода пути, которая позволяет неаутентифицированному удаленному злоумышленнику передавать HTTP-запросы неавторизованным конечным точкам.
• CVE-2023-48365 (оценка CVSS: 9,9) — уязвимость удаленного выполнения кода без проверки подлинности, возникающая в результате неправильной проверки заголовков HTTP, позволяющая удаленному злоумышленнику повысить свои привилегии посредством туннелирования HTTP-запросов.

Важно отметить, что CVE-2023-48365 является следствием неполного исправления для CVE-2023-41265. Обе уязвимости, а также CVE-2023-41266, были раскрыты в конце августа 2023 года, а исправление CVE-2023-48365 было реализовано 20 сентября 2023 года.

В наблюдаемых атаках CACTUS Ransomware эксплуатируются выявленные уязвимости, что приводит к неправомерному использованию сервиса Qlik Sense Scheduler. Это позволяет злоумышленникам запускать процессы, предназначенные для загрузки дополнительных инструментов с целью установления персистентности и настройки удаленного управления.

Дополнительные инструменты, задействованные в этих атаках, включают ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Примечательно, что злоумышленники удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink. Цепочки атак в конечном итоге приводят к использованию программы-вымогателя CACTUS, при этом злоумышленники также используют клоны для кражи данных. Эта комплексная стратегия атаки подчеркивает сложный и многоэтапный характер кампании CACTUS Ransomware.

Злоумышленники, использующие программы-вымогатели, совершенствуют свои методы

Появление CACTUS Ransomware отражает растущую сложность угроз программ-вымогателей. Подпольная экономика развилась для поддержки крупномасштабных атак через сеть брокеров первичного доступа и владельцев ботнетов. Эти организации перепродают доступ к системам жертв нескольким аффилированным лицам, способствуя расширению угроз программ-вымогателей.

Несмотря на глобальные усилия правительств по борьбе с программами-вымогателями, бизнес-модель «Программы-вымогатели как услуга» (RaaS) остается устойчивым и прибыльным методом вымогательства денег у жертв. Долговечность и прибыльность этой модели сохраняются, что позволяет субъектам угроз адаптироваться и продолжать свою незаконную деятельность.

Одна известная группа, занимающаяся вымогательством, Black Basta , вышла на сцену в апреле 2022 года и, по оценкам, накопила незаконную прибыль, превышающую 107 миллионов долларов США в виде выкупов в биткойнах от более чем 90 жертв. Недавнее совместное исследование показало, что значительная часть этих средств была отмыта через Garantex, российскую криптовалютную биржу, попавшую под санкции правительства США в апреле 2022 года за содействие транзакциям с торговой площадкой Hydra Dark Net.

Кроме того, анализ выявил связи между «Черной Бастой» и ныне несуществующей российской киберпреступной группировкой «Конти», которая прекратила свою деятельность примерно в то же время, когда появилась «Черная Баста». Кроме того, были выявлены связи с QakBot , инструментом, используемым при развертывании программы-вымогателя. Эта запутанная сеть ассоциаций подчеркивает сложный и взаимосвязанный характер современных операций с программами-вымогателями.