CACTUS Ransomware

கிளவுட் அனலிட்டிக்ஸ் மற்றும் வணிக நுண்ணறிவு தளமான Qlik Sense இல் புதிதாக வெளிப்படுத்தப்பட்ட பாதுகாப்பு பாதிப்புகளை பயன்படுத்தி CACTUS Ransomware பிரச்சாரம் பற்றி சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் எச்சரிக்கின்றனர். CACTUS Ransomware ஐப் பயன்படுத்தும் தீங்கிழைக்கும் நடிகர்கள் க்ளிக் சென்ஸில் உள்ள பாதிப்புகளை இலக்காகக் கொண்ட சூழல்களில் ஆரம்ப அணுகலைப் பெறுவதற்கான தங்கள் முதன்மையான வழிமுறையாகப் பயன்படுத்திய முதல் ஆவணப்படுத்தப்பட்ட நிகழ்வைக் குறிக்கும் வகையில் இந்த பிரச்சாரம் குறிப்பிடத்தக்க வளர்ச்சியைக் குறிக்கிறது. அங்கீகரிக்கப்படாத அணுகல் மற்றும் சாத்தியமான தரவு சமரசம் ஆகியவற்றிற்காக பிரபலமான மென்பொருள் தளங்களில் உள்ள பலவீனங்களைப் பயன்படுத்தி அச்சுறுத்தல் நடிகர்கள் பயன்படுத்தும் வளர்ந்து வரும் உத்திகளை இது அடிக்கோடிட்டுக் காட்டுகிறது.

CACTUS Ransomware பல மென்பொருள் பாதிப்புகள் மூலம் வழங்கப்படுகிறது

சைபர் செக்யூரிட்டி ஆய்வாளர்கள் தொடர்ச்சியான தாக்குதல்களை அடையாளம் கண்டுள்ளனர், இது பல மாதங்களாக மூன்று வெளிப்படுத்தப்பட்ட பாதிப்புகளை சுரண்டுவதாக தோன்றுகிறது:

• CVE-2023-41265 (CVSS மதிப்பெண்: 9.9) - இந்த பாதிப்பானது HTTP கோரிக்கை சுரங்கப்பாதையை உள்ளடக்கியது, ரிமோட் அட்டாக் செய்பவருக்கு அவர்களின் சிறப்புரிமைகளை உயர்த்தவும், களஞ்சிய பயன்பாட்டை ஹோஸ்ட் செய்யும் பின்தள சேவையகத்தால் செயல்படுத்தப்படும் கோரிக்கைகளை அனுப்பவும் உதவுகிறது.
• CVE-2023-41266 (CVSS மதிப்பெண்: 6.5) - அங்கீகரிக்கப்படாத, ரிமோட் தாக்குபவருக்கு HTTP கோரிக்கைகளை அங்கீகரிக்கப்படாத இறுதிப்புள்ளிகளுக்கு அனுப்ப அனுமதிக்கும் பாதையில் ஊடுருவக்கூடிய பாதிப்பு.
• CVE-2023-48365 (CVSS மதிப்பெண்: 9.9) - HTTP தலைப்புகளின் முறையற்ற சரிபார்ப்பின் விளைவாக, HTTP கோரிக்கைகளை சுரங்கப்பாதை மூலம் தங்கள் சலுகைகளை உயர்த்துவதற்கு ரிமோட் அட்டாக்கரை அனுமதிக்கும், அங்கீகரிக்கப்படாத, ரிமோட் குறியீடு செயல்படுத்தல் பாதிப்பு.

CVE-2023-48365 என்பது CVE-2023-41265க்கான முழுமையடையாத இணைப்பின் விளைவு என்பதைக் கவனத்தில் கொள்ள வேண்டியது அவசியம். CVE-2023-41266 உடன் இரண்டு பாதிப்புகளும் ஆகஸ்ட் 2023 இன் பிற்பகுதியில் வெளியிடப்பட்டன, மேலும் CVE-2023-48365 க்கான திருத்தம் செப்டம்பர் 20, 2023 அன்று செயல்படுத்தப்பட்டது.

கவனிக்கப்பட்ட CACTUS Ransomware தாக்குதல்களில், அடையாளம் காணப்பட்ட பாதிப்புகள் பயன்படுத்தப்படுகின்றன, இது Qlik Sense Scheduler சேவையை தவறாகப் பயன்படுத்துவதற்கு வழிவகுக்கிறது. நிலைத்தன்மையை நிறுவுதல் மற்றும் ரிமோட் கண்ட்ரோலை அமைக்கும் நோக்கத்துடன் கூடுதல் கருவிகளைப் பதிவிறக்க வடிவமைக்கப்பட்ட செயல்முறைகளைத் தாக்குபவர்களுக்கு இது உதவுகிறது.

இந்த தாக்குதல்களில் ஈடுபட்டுள்ள கூடுதல் கருவிகளில் ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk மற்றும் Plink ஆகியவை அடங்கும். குறிப்பிடத்தக்க வகையில், அச்சுறுத்தல் நடிகர்கள் சோஃபோஸ் மென்பொருளை நிறுவல் நீக்குவது, நிர்வாகி கணக்கு கடவுச்சொல்லை மாற்றுவது மற்றும் பிளிங்க் வழியாக RDP சுரங்கப்பாதையை உருவாக்குவது ஆகியவை கவனிக்கப்பட்டுள்ளன. தாக்குதல் சங்கிலிகள் இறுதியில் CACTUS Ransomware இன் வரிசைப்படுத்தலில் விளைகின்றன, தாக்குபவர்கள் தரவு வெளியேற்றத்திற்காக குளோன்களைப் பயன்படுத்துகின்றனர். இந்த விரிவான தாக்குதல் உத்தி CACTUS Ransomware பிரச்சாரத்தின் அதிநவீன மற்றும் பல-நிலைத் தன்மையை அடிக்கோடிட்டுக் காட்டுகிறது.

Ransomware அச்சுறுத்தல் நடிகர்கள் தங்கள் நுட்பங்களை உருவாக்குகிறார்கள்

CACTUS Ransomware இன் தோற்றம் ransomware அச்சுறுத்தல் நிலப்பரப்பின் அதிகரித்து வரும் நுட்பத்தை பிரதிபலிக்கிறது. ஆரம்ப அணுகல் தரகர்கள் மற்றும் பாட்நெட் உரிமையாளர்களின் நெட்வொர்க் மூலம் பெரிய அளவிலான தாக்குதல்களை ஆதரிக்கும் வகையில் நிலத்தடி பொருளாதாரம் உருவாகியுள்ளது. இந்த நிறுவனங்கள் பாதிக்கப்பட்ட அமைப்புகளுக்கான அணுகலை பல துணை நடிகர்களுக்கு மறுவிற்பனை செய்கின்றன, இது ransomware அச்சுறுத்தல்களின் விரிவாக்கத்திற்கு பங்களிக்கிறது.

ransomware-ஐ எதிர்த்துப் போராடுவதற்கான அரசாங்கங்களின் உலகளாவிய முயற்சிகள் இருந்தபோதிலும், Ransomware-as-a-Service (RaaS) வணிக மாதிரியானது இலக்குகளில் இருந்து பணத்தைப் பறிப்பதற்கான ஒரு நெகிழ்ச்சியான மற்றும் லாபகரமான முறையாக உள்ளது. இந்த மாதிரியின் ஆயுட்காலம் மற்றும் லாபம் தொடர்ந்து நீடிக்கிறது, அச்சுறுத்தும் நடிகர்கள் தங்கள் சட்டவிரோத நடவடிக்கைகளை மாற்றியமைக்கவும் தொடரவும் அனுமதிக்கிறது.

ஒரு குறிப்பிடத்தக்க ransomware குழுவான Black Basta , ஏப்ரல் 2022 இல் காட்சியில் நுழைந்தது மற்றும் 90 க்கும் மேற்பட்ட பாதிக்கப்பட்டவர்களிடமிருந்து Bitcoin மீட்கும் கொடுப்பனவுகளில் $107 மில்லியனுக்கும் அதிகமான சட்டவிரோத இலாபங்களைச் சேகரித்ததாக மதிப்பிடப்பட்டுள்ளது. ஹைட்ரா டார்க் நெட் சந்தையுடன் பரிவர்த்தனைகளை எளிதாக்குவதற்காக ஏப்ரல் 2022 இல் அமெரிக்க அரசாங்கத்தால் அனுமதிக்கப்பட்ட ரஷ்ய கிரிப்டோகரன்சி பரிமாற்றமான Garantex மூலம் இந்த நிதிகளில் குறிப்பிடத்தக்க பகுதி மோசடி செய்யப்பட்டதாக சமீபத்திய கூட்டு ஆராய்ச்சி வெளிப்படுத்தியுள்ளது.

மேலும், பிளாக் பாஸ்தாவிற்கும் இப்போது செயல்படாத ரஷ்ய சைபர் கிரைம் குழுவான கான்டிக்கும் இடையேயான தொடர்புகளை பகுப்பாய்வு கண்டறிந்துள்ளது, இது பிளாக் பாஸ்தா தோன்றிய அதே நேரத்தில் செயல்பாடுகளை நிறுத்தியது. கூடுதலாக, ransomware ஐப் பயன்படுத்துவதற்குப் பயன்படுத்தப்படும் ஒரு கருவியான QakBot உடனான உறவுகள் அடையாளம் காணப்பட்டுள்ளன. சங்கங்களின் இந்த சிக்கலான வலை நவீன ransomware செயல்பாடுகளின் சிக்கலான மற்றும் ஒன்றோடொன்று இணைக்கப்பட்ட தன்மையை அடிக்கோடிட்டுக் காட்டுகிறது.