Flerlicensrabatter
Threat Database Ransomware CACTUS Ransomware

CACTUS Ransomware

Med Mezo år Ransomware
Översätt till:
Svenska

Cybersäkerhetsforskare varnar för en CACTUS Ransomware-kampanj som drar nytta av nyligen avslöjade säkerhetsbrister inom Qlik Sense, en molnanalys- och affärsintelligensplattform. Den här kampanjen representerar en anmärkningsvärd utveckling eftersom den är det första dokumenterade fallet där skadliga aktörer som använder CACTUS Ransomware har utnyttjat sårbarheter i Qlik Sense som sin primära metod för att få initial åtkomst till riktade miljöer. Detta understryker den utvecklande taktiken som används av hotaktörer för att utnyttja svagheter i populära mjukvaruplattformar för obehörig åtkomst och potentiell datakompromettering.

CACTUS Ransomware levereras via flera sårbarheter i programvaran

Cybersäkerhetsanalytiker har identifierat en serie attacker som verkar utnyttja tre avslöjade sårbarheter som sträcker sig över flera månader:

  • CVE-2023-41265 (CVSS-poäng: 9,9) - Denna sårbarhet involverar HTTP Request Tunneling, vilket gör det möjligt för en fjärrangripare att höja sina privilegier och skicka förfrågningar som exekveras av backend-servern som är värd för förvarsapplikationen.
  • CVE-2023-41266 (CVSS-poäng: 6,5) - En sårbarhet för genomgång av vägar som gör att en oautentiserad fjärrangripare kan överföra HTTP-förfrågningar till obehöriga slutpunkter.
  • CVE-2023-48365 (CVSS-poäng: 9,9) - En oautentiserad, fjärrkörning av kod som är ett resultat av felaktig validering av HTTP-huvuden, vilket gör att en fjärrangripare kan höja sina privilegier genom att tunnla HTTP-förfrågningar.

Det är viktigt att notera att CVE-2023-48365 är en följd av en ofullständig patch för CVE-2023-41265. Båda sårbarheterna, tillsammans med CVE-2023-41266, avslöjades i slutet av augusti 2023, och en korrigering för CVE-2023-48365 implementerades den 20 september 2023.

I de observerade CACTUS Ransomware-attackerna utnyttjas de identifierade sårbarheterna, vilket leder till missbruk av tjänsten Qlik Sense Scheduler. Detta gör det möjligt för angriparna att skapa processer som är utformade för att ladda ner ytterligare verktyg i syfte att etablera uthållighet och ställa in fjärrkontroll.

De ytterligare verktyg som är involverade i dessa attacker inkluderar ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk och Plink. Noterbart har hotaktörerna observerats när de avinstallerar Sophos-programvaran, ändrar lösenordet för administratörskontot och skapar en RDP-tunnel via Plink. Attackkedjorna resulterar i slutändan i distributionen av CACTUS Ransomware, där angriparna också använder kloner för dataexfiltrering. Denna omfattande attackstrategi understryker CACTUS Ransomware-kampanjens sofistikerade och flerstegiga karaktär.

Ransomware-hotaktörer utvecklar sina tekniker

Framväxten av CACTUS Ransomware återspeglar den ökande sofistikeringen av ransomware-hotlandskapet. Den underjordiska ekonomin har utvecklats för att stödja storskaliga attacker genom ett nätverk av första accessmäklare och botnätsägare. Dessa enheter säljer vidare åtkomst till offersystem till flera affilierade aktörer, vilket bidrar till utökningen av ransomware-hot.

Trots globala ansträngningar från regeringar för att bekämpa ransomware förblir affärsmodellen Ransomware-as-a-Service (RaaS) en motståndskraftig och lönsam metod för att pressa pengar från mål. Den här modellens livslängd och lönsamhet består, vilket gör att hotaktörer kan anpassa sig och fortsätta sina olagliga aktiviteter.

En anmärkningsvärd ransomware-grupp, Black Basta , gick in på scenen i april 2022 och beräknas ha samlat på sig olagliga vinster på över 107 miljoner dollar i Bitcoin-lösensumma från över 90 offer. Ny gemensam forskning har visat att en betydande del av dessa medel tvättades genom Garantex, en rysk kryptovalutabörs som sanktionerades av den amerikanska regeringen i april 2022 för att underlätta transaktioner med Hydra Dark Net-marknaden.

Dessutom har analysen avslöjat kopplingar mellan Black Basta och den numera nedlagda ryska cyberbrottsgruppen Conti, som upphörde med sin verksamhet ungefär samtidigt som Black Bastas uppkomst. Dessutom har band till QakBot , ett verktyg som används för att distribuera ransomware, identifierats. Denna intrikata väv av associationer understryker den komplexa och sammanlänkade karaktären hos moderna ransomware-operationer.

Trendigt

Mest sedda

Läser in...