CACTUS Ransomware

Výskumníci v oblasti kybernetickej bezpečnosti varujú pred kampaňou CACTUS Ransomware, ktorá zarába na novo odhalených bezpečnostných zraniteľnostiach v rámci Qlik Sense, cloudovej analytiky a platformy business intelligence. Táto kampaň predstavuje pozoruhodný vývoj, pretože znamená prvý zdokumentovaný prípad, keď záškodníci využívajúci CACTUS Ransomware využili zraniteľnosti v Qlik Sense ako svoju primárnu metódu na získanie počiatočného prístupu do cieľových prostredí. To podčiarkuje vyvíjajúcu sa taktiku, ktorú používajú aktéri hrozieb, aby využili slabiny populárnych softvérových platforiem na neoprávnený prístup a potenciálne kompromitovanie údajov.

CACTUS Ransomware je dodávaný prostredníctvom niekoľkých softvérových chýb

Analytici kybernetickej bezpečnosti identifikovali sériu útokov, ktoré zrejme využívajú tri odhalené zraniteľnosti trvajúce niekoľko mesiacov:

• CVE-2023-41265 (skóre CVSS: 9,9) – Táto chyba zabezpečenia zahŕňa tunelovanie požiadaviek HTTP, ktoré umožňuje vzdialenému útočníkovi zvýšiť svoje privilégiá a odosielať požiadavky vykonávané koncovým serverom, ktorý je hostiteľom aplikácie úložiska.
• CVE-2023-41266 (CVSS skóre: 6,5) – Zraniteľnosť týkajúca sa prechodu cesty, ktorá umožňuje neoverenému vzdialenému útočníkovi prenášať požiadavky HTTP na neoprávnené koncové body.
• CVE-2023-48365 (CVSS skóre: 9,9) – Neoverená zraniteľnosť spustenia kódu na diaľku spôsobená nesprávnou validáciou hlavičiek HTTP, ktorá umožňuje vzdialenému útočníkovi zvýšiť svoje privilégiá prostredníctvom tunelovania požiadaviek HTTP.

Je dôležité poznamenať, že CVE-2023-48365 je dôsledkom neúplnej opravy pre CVE-2023-41265. Obe zraniteľnosti spolu s CVE-2023-41266 boli odhalené koncom augusta 2023 a oprava CVE-2023-48365 bola implementovaná 20. septembra 2023.

Pri pozorovaných útokoch CACTUS Ransomware dochádza k zneužívaniu identifikovaných zraniteľností, čo vedie k zneužitiu služby Qlik Sense Scheduler. To umožňuje útočníkom vytvárať procesy určené na sťahovanie ďalších nástrojov s cieľom dosiahnuť vytrvalosť a nastaviť diaľkové ovládanie.

Medzi ďalšie nástroje zahrnuté v týchto útokoch patria ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk a Plink. Je pozoruhodné, že aktéri hrozieb boli pozorovaní pri odinštalovaní softvéru Sophos, zmene hesla účtu správcu a vytvorení tunela RDP cez Plink. Útočné reťazce nakoniec vyústia do nasadenia CACTUS Ransomware, pričom útočníci tiež využívajú klony na exfiltráciu dát. Táto komplexná stratégia útoku podčiarkuje sofistikovaný a viacstupňový charakter kampane CACTUS Ransomware.

Aktéri hrozieb ransomvéru vyvíjajú svoje techniky

Vznik CACTUS Ransomware odráža rastúcu sofistikovanosť prostredia ransomvérových hrozieb. Podzemná ekonomika sa vyvinula na podporu rozsiahlych útokov prostredníctvom siete maklérov počiatočného prístupu a vlastníkov botnetov. Tieto subjekty predávajú prístup k systémom obetí viacerým pridruženým subjektom, čím prispievajú k rozšíreniu hrozieb ransomvéru.

Napriek globálnemu úsiliu vlád bojovať proti ransomvéru, obchodný model Ransomware-as-a-Service (RaaS) zostáva odolnou a ziskovou metódou na vymáhanie peňazí od cieľov. Životnosť a ziskovosť tohto modelu pretrvávajú, čo umožňuje aktérom hrozby prispôsobiť sa a pokračovať vo svojich nezákonných činnostiach.

Jedna významná ransomvérová skupina, Black Basta , vstúpila na scénu v apríli 2022 a odhaduje sa, že nahromadila nezákonné zisky presahujúce 107 miliónov dolárov v bitcoinových výkupných od viac ako 90 obetí. Nedávny spoločný výskum odhalil, že značná časť týchto prostriedkov bola prepraná prostredníctvom Garantexu, ruskej kryptomenovej burzy, ktorú vláda USA schválila v apríli 2022 za uľahčenie transakcií s trhom Hydra Dark Net.

Okrem toho analýza odhalila prepojenia medzi Black Basta a dnes už neexistujúcou ruskou kyberzločineckou skupinou Conti, ktorá ukončila činnosť približne v rovnakom čase, ako sa Black Basta objavil. Okrem toho boli identifikované väzby na QakBot , nástroj používaný pri nasadzovaní ransomvéru. Táto zložitá sieť asociácií podčiarkuje komplexnú a prepojenú povahu moderných operácií ransomvéru.