Zbritje me shumë licenca
Threat Database Ransomware KACTUS Ransomware

KACTUS Ransomware

Nga MezoRansomware
Përkthe në:
Shqip

Studiuesit e sigurisë kibernetike po paralajmërojnë për një fushatë CACTUS Ransomware duke kapitalizuar dobësitë e sigurisë të zbuluara rishtazi brenda Qlik Sense, një platformë analitike cloud dhe inteligjencë biznesi. Kjo fushatë përfaqëson një zhvillim të rëndësishëm pasi nënkupton rastin e parë të dokumentuar ku aktorët keqdashës që përdorin CACTUS Ransomware kanë shfrytëzuar dobësitë në Qlik Sense si metodën e tyre kryesore për të fituar akses fillestar në mjediset e synuara. Kjo nënvizon taktikat në zhvillim të përdorura nga aktorët e kërcënimit për të shfrytëzuar dobësitë në platformat e softuerit të njohur për akses të paautorizuar dhe kompromis të mundshëm të të dhënave.

Ransomware CACTUS shpërndahet përmes disa dobësive të softuerit

Analistët e sigurisë kibernetike kanë identifikuar një seri sulmesh që duket se shfrytëzojnë tre dobësi të zbuluara që zgjasin disa muaj:

  • CVE-2023-41265 (Rezultati CVSS: 9.9) - Kjo dobësi përfshin tunelimin e kërkesës HTTP, duke i mundësuar një sulmuesi të largët të ngrejë privilegjet e tij dhe të dërgojë kërkesa të ekzekutuara nga serveri mbështetës që pret aplikacionin e depove.
  • CVE-2023-41266 (Rezultati CVSS: 6.5) - Një cenueshmëri e kalimit të rrugës që lejon një sulmues të paautentikuar, në distancë të transmetojë kërkesat HTTP në pikat fundore të paautorizuara.
  • CVE-2023-48365 (Rezultati CVSS: 9.9) - Një cenueshmëri e ekzekutimit të kodit të paautentikuar, në distancë, që rezulton nga vërtetimi i pahijshëm i titujve të HTTP, duke i lejuar një sulmuesi në distancë të ngrejë privilegjet e tij përmes tunelit të kërkesave HTTP.

Është e rëndësishme të theksohet se CVE-2023-48365 është pasojë e një patch jo të plotë për CVE-2023-41265. Të dy dobësitë, së bashku me CVE-2023-41266, u zbuluan në fund të gushtit 2023 dhe një rregullim për CVE-2023-48365 u zbatua më 20 shtator 2023.

Në sulmet e vëzhguara të CACTUS Ransomware, dobësitë e identifikuara janë shfrytëzuar, duke çuar në keqpërdorimin e shërbimit Qlik Sense Scheduler. Kjo u mundëson sulmuesve të krijojnë procese të dizajnuara për të shkarkuar mjete shtesë me qëllim të vendosjes së qëndrueshmërisë dhe vendosjes së telekomandës.

Mjetet shtesë të përfshira në këto sulme përfshijnë ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk dhe Plink. Veçanërisht, aktorët e kërcënimit janë vërejtur duke çinstaluar softuerin Sophos, duke ndryshuar fjalëkalimin e llogarisë së administratorit dhe duke krijuar një tunel RDP përmes Plink. Zinxhirët e sulmit përfundimisht rezultojnë në vendosjen e CACTUS Ransomware, me sulmuesit që përdorin gjithashtu klone për ekfiltrimin e të dhënave. Kjo strategji gjithëpërfshirëse e sulmit nënvizon natyrën e sofistikuar dhe me shumë faza të fushatës CACTUS Ransomware.

Aktorët e Kërcënimeve të Ransomware po zhvillojnë teknikat e tyre

Shfaqja e CACTUS Ransomware pasqyron sofistikimin në rritje të peizazhit të kërcënimit të ransomware. Ekonomia nëntokësore ka evoluar për të mbështetur sulmet në shkallë të gjerë përmes një rrjeti ndërmjetësish fillestare të aksesit dhe pronarëve të botnet-it. Këto entitete rishesin aksesin në sistemet e viktimave tek aktorët e shumtë të lidhur, duke kontribuar në zgjerimin e kërcënimeve të ransomware.

Pavarësisht përpjekjeve globale të qeverive për të luftuar ransomware, modeli i biznesit Ransomware-as-a-service (RaaS) mbetet një metodë elastike dhe fitimprurëse për zhvatjen e parave nga objektivat. Jetëgjatësia dhe përfitimi i këtij modeli vazhdojnë, duke i lejuar aktorët kërcënues të përshtaten dhe të vazhdojnë aktivitetet e tyre të paligjshme.

Një grup i shquar ransomware, Black Basta , hyri në skenë në prill 2022 dhe vlerësohet të ketë grumbulluar fitime të paligjshme që tejkalojnë 107 milionë dollarë në pagesat e shpërblesës në Bitcoin nga mbi 90 viktima. Hulumtimet e fundit të përbashkëta kanë zbuluar se një pjesë e konsiderueshme e këtyre fondeve është pastruar përmes Garantex, një shkëmbim kriptomonedhash ruse i sanksionuar nga qeveria amerikane në prill 2022 për lehtësimin e transaksioneve me tregun Hydra Dark Net.

Për më tepër, analiza ka zbuluar lidhje midis Black Basta dhe grupit rus tashmë të zhdukur të krimit kibernetik Conti, i cili pushoi së funksionuari pothuajse në të njëjtën kohë me shfaqjen e Black Basta. Për më tepër, janë identifikuar lidhje me QakBot , një mjet i përdorur në vendosjen e ransomware. Ky rrjet i ndërlikuar shoqatash nënvizon natyrën komplekse dhe të ndërlidhur të operacioneve moderne të ransomware.

Në trend

Më e shikuara

Po ngarkohet...