ЦАЦТУС Рансомваре
Истраживачи сајбер безбедности упозоравају на ЦАЦТУС Рансомваре кампању која користи новооткривене безбедносне пропусте у оквиру Клик Сенсе-а, платформе за аналитику у облаку и пословну интелигенцију. Ова кампања представља значајан развој догађаја јер означава први документовани случај где су злонамерни актери који користе ЦАЦТУС Рансомваре искористили рањивости у Клик Сенсе-у као свој примарни метод да добију почетни приступ циљаним окружењима. Ово наглашава еволуирајућу тактику коју користе актери претњи да искористе слабости популарних софтверских платформи за неовлашћени приступ и потенцијалну компромитацију података.
ЦАЦТУС Рансомваре се испоручује преко неколико софтверских рањивости
Аналитичари кибернетичке безбедности идентификовали су серију напада за које се чини да искориштавају три откривене рањивости у трајању од неколико месеци:
- ЦВЕ-2023-41265 (ЦВСС резултат: 9,9) – Ова рањивост укључује тунелирање ХТТП захтева, омогућавајући удаљеном нападачу да подигне своје привилегије и пошаље захтеве које извршава позадински сервер који хостује апликацију спремишта.
- ЦВЕ-2023-41266 (ЦВСС резултат: 6,5) – Рањивост у преласку путање која омогућава неауторизованом удаљеном нападачу да преноси ХТТП захтеве на неовлашћене крајње тачке.
- ЦВЕ-2023-48365 (ЦВСС резултат: 9,9) – Рањивост неауторизованог, удаљеног извршавања кода која је резултат неправилне провере ваљаности ХТТП заглавља, омогућавајући удаљеном нападачу да подигне своје привилегије кроз тунелирање ХТТП захтева.
Важно је напоменути да је ЦВЕ-2023-48365 последица непотпуне закрпе за ЦВЕ-2023-41265. Обе рањивости, заједно са ЦВЕ-2023-41266, откривене су крајем августа 2023, а исправка за ЦВЕ-2023-48365 је примењена 20. септембра 2023.
У уоченим нападима ЦАЦТУС Рансомваре-а, идентификоване рањивости су искоришћене, што доводи до злоупотребе услуге Клик Сенсе Сцхедулер. Ово омогућава нападачима да покрену процесе дизајниране за преузимање додатних алата са циљем успостављања постојаности и подешавања даљинског управљања.
Додатни алати укључени у ове нападе укључују МанагеЕнгине Унифиед Ендпоинт Манагемент анд Сецурити (УЕМС), АниДеск и Плинк. Значајно је да су актери претњи примећени како деинсталирају софтвер Сопхос, мењају лозинку администраторског налога и креирају РДП тунел преко Плинк-а. Ланци напада на крају резултирају применом ЦАЦТУС Рансомваре-а, при чему нападачи такође користе клонове за ексфилтрацију података. Ова свеобухватна стратегија напада наглашава софистицирану и вишестепену природу ЦАЦТУС Рансомваре кампање.
Актери претњи од рансомваре-а развијају своје технике
Појава ЦАЦТУС Рансомваре-а одражава растућу софистицираност окружења претњи рансомвера. Сива економија је еволуирала да подржи нападе великих размера кроз мрежу брокера за почетни приступ и власника ботнета. Ови ентитети препродају приступ системима жртава вишеструким повезаним актерима, доприносећи ширењу претњи рансомваре-а.
Упркос глобалним напорима влада да се боре против рансомваре-а, пословни модел Рансомваре-ас-а-Сервице (РааС) остаје отпоран и профитабилан метод за изнуђивање новца од мета. Дуготрајност и профитабилност овог модела и даље постоје, дозвољавајући актерима претњи да се прилагоде и наставе са својим недозвољеним активностима.
Једна значајна група рансомваре-а, Блацк Баста , ступила је на сцену у априлу 2022. године и процењује се да је прикупила незаконит профит који премашује 107 милиона долара уплатама биткоина откупнине од преко 90 жртава. Недавно заједничко истраживање је открило да је значајан део ових средстава опран преко Гарантек-а, руске берзе криптовалута коју је америчка влада санкционисала у априлу 2022. због омогућавања трансакција са Хидра Дарк Нет тржиштем.
Штавише, анализа је открила везе између Блацк Басте и сада непостојеће руске групе за сајбер криминал Цонти, која је престала са радом отприлике у исто време када се Блацк Баста појавио. Поред тога, идентификоване су везе са КакБот-ом , алатом који се користи за примену рансомваре-а. Ова замршена мрежа асоцијација наглашава сложену и међусобно повезану природу модерних операција рансомвера.
