CACTUS Ransomware

Raziskovalci kibernetske varnosti opozarjajo na kampanjo CACTUS Ransomware, ki izkorišča novo razkrite varnostne ranljivosti v Qlik Sense, platformi za analitiko v oblaku in poslovno inteligenco. Ta kampanja predstavlja omembe vreden razvoj, saj označuje prvi dokumentiran primer, ko so zlonamerni akterji, ki uporabljajo izsiljevalsko programsko opremo CACTUS, izkoristili ranljivosti v Qlik Sense kot svojo primarno metodo za pridobitev začetnega dostopa do ciljnih okolij. To poudarja razvijajoče se taktike, ki jih izvajalci groženj uporabljajo za izkoriščanje slabosti v priljubljenih programskih platformah za nepooblaščen dostop in potencialno ogrožanje podatkov.

Izsiljevalska programska oprema CACTUS je dostavljena prek več ranljivosti programske opreme

Analitiki kibernetske varnosti so odkrili vrsto napadov, za katere se zdi, da izkoriščajo tri razkrite ranljivosti, ki trajajo več mesecev:

• CVE-2023-41265 (ocena CVSS: 9,9) – Ta ranljivost vključuje tuneliranje zahtev HTTP, ki omogoča oddaljenemu napadalcu, da zviša svoje privilegije in pošlje zahteve, ki jih izvede zaledni strežnik, ki gosti aplikacijo repozitorija.
• CVE-2023-41266 (ocena CVSS: 6,5) – Ranljivost pri prečkanju poti, ki nepreverjenemu oddaljenemu napadalcu omogoča prenos zahtev HTTP do nepooblaščenih končnih točk.
• CVE-2023-48365 (ocena CVSS: 9,9) – Ranljivost nepreverjenega oddaljenega izvajanja kode, ki je posledica nepravilnega preverjanja veljavnosti glav HTTP, kar omogoča oddaljenemu napadalcu, da poviša svoje privilegije prek tuneliranja zahtev HTTP.

Pomembno je omeniti, da je CVE-2023-48365 posledica nepopolnega popravka za CVE-2023-41265. Obe ranljivosti, skupaj s CVE-2023-41266, sta bili razkriti konec avgusta 2023, popravek za CVE-2023-48365 pa je bil implementiran 20. septembra 2023.

V opaženih napadih izsiljevalske programske opreme CACTUS se izkoristijo ugotovljene ranljivosti, kar vodi do zlorabe storitve Qlik Sense Scheduler. To napadalcem omogoča ustvarjanje procesov, namenjenih prenosu dodatnih orodij z namenom vzpostavitve obstojnosti in nastavitve daljinskega nadzora.

Dodatna orodja, vključena v te napade, vključujejo ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk in Plink. Predvsem so opazili, da akterji groženj odstranjujejo programsko opremo Sophos, spreminjajo geslo skrbniškega računa in ustvarjajo tunel RDP prek Plinka. Verige napadov na koncu povzročijo uvedbo izsiljevalske programske opreme CACTUS, pri čemer napadalci uporabljajo tudi klone za izločanje podatkov. Ta celovita strategija napada poudarja prefinjeno in večstopenjsko naravo kampanje izsiljevalske programske opreme CACTUS.

Akterji groženj z izsiljevalsko programsko opremo razvijajo svoje tehnike

Pojav izsiljevalske programske opreme CACTUS odraža vse večjo prefinjenost pokrajine groženj z izsiljevalsko programsko opremo. Siva ekonomija se je razvila tako, da podpira obsežne napade prek mreže posrednikov za začetni dostop in lastnikov botnetov. Ti subjekti preprodajajo dostop do sistemov žrtev več povezanim akterjem, kar prispeva k širjenju groženj izsiljevalske programske opreme.

Kljub globalnim prizadevanjem vlad za boj proti izsiljevalski programski opremi poslovni model Ransomware-as-a-Service (RaaS) ostaja odporna in donosna metoda za izsiljevanje denarja od tarč. Dolgoživost in dobičkonosnost tega modela ostajata, kar akterjem groženj omogoča, da se prilagodijo in nadaljujejo svoje nezakonite dejavnosti.

Ena pomembna skupina izsiljevalske programske opreme, Black Basta , je vstopila na sceno aprila 2022 in je po ocenah pridobila nezakonite dobičke, ki presegajo 107 milijonov dolarjev v plačilih odkupnine v bitcoinih od več kot 90 žrtev. Nedavna skupna raziskava je razkrila, da je bil pomemben del teh sredstev opran prek Garantexa, ruske borze kriptovalut, ki jo je ameriška vlada aprila 2022 sankcionirala zaradi omogočanja transakcij s tržnico Hydra Dark Net.

Poleg tega je analiza odkrila povezave med Black Basta in zdaj propadlo rusko skupino za kibernetski kriminal Conti, ki je prenehala delovati približno istočasno, kot se je pojavil Black Basta. Poleg tega so bile ugotovljene povezave s QakBot , orodjem, ki se uporablja za uvajanje izsiljevalske programske opreme. Ta zapletena mreža povezav poudarja kompleksno in medsebojno povezano naravo sodobnih operacij izsiljevalske programske opreme.