CACTUS Ransomware

క్లౌడ్ అనలిటిక్స్ మరియు బిజినెస్ ఇంటెలిజెన్స్ ప్లాట్‌ఫారమ్ అయిన క్లిక్ సెన్స్‌లో కొత్తగా బహిర్గతం చేయబడిన భద్రతా లోపాలను క్యాపిటల్‌గా చేసుకుని CACTUS Ransomware ప్రచారం గురించి సైబర్‌ సెక్యూరిటీ పరిశోధకులు హెచ్చరిస్తున్నారు. CACTUS Ransomwareని ఉపయోగించే హానికరమైన నటీనటులు క్లిక్ సెన్స్‌లోని దుర్బలత్వాలను లక్ష్యంగా చేసుకున్న పర్యావరణాలలోకి ప్రారంభ యాక్సెస్‌ని పొందేందుకు వారి ప్రాథమిక పద్ధతిగా ఉపయోగించిన మొదటి డాక్యుమెంట్ కేసును సూచిస్తున్నందున ఈ ప్రచారం గుర్తించదగిన అభివృద్ధిని సూచిస్తుంది. అనధికారిక యాక్సెస్ మరియు సంభావ్య డేటా రాజీ కోసం ప్రముఖ సాఫ్ట్‌వేర్ ప్లాట్‌ఫారమ్‌లలోని బలహీనతలను ఉపయోగించుకోవడానికి బెదిరింపు నటులు అనుసరించే అభివృద్ధి చెందుతున్న వ్యూహాలను ఇది నొక్కి చెబుతుంది.

CACTUS Ransomware అనేక సాఫ్ట్‌వేర్ దుర్బలత్వాల ద్వారా పంపిణీ చేయబడింది

సైబర్‌ సెక్యూరిటీ విశ్లేషకులు అనేక నెలలపాటు మూడు బహిర్గతమైన దుర్బలత్వాలను ఉపయోగించుకునేలా కనిపించే దాడుల శ్రేణిని గుర్తించారు:

• CVE-2023-41265 (CVSS స్కోర్: 9.9) - ఈ దుర్బలత్వం HTTP అభ్యర్థన టన్నెలింగ్‌ను కలిగి ఉంటుంది, రిమోట్ అటాకర్‌కు వారి అధికారాలను ఎలివేట్ చేయడానికి మరియు రిపోజిటరీ అప్లికేషన్‌ని హోస్ట్ చేస్తున్న బ్యాకెండ్ సర్వర్ ద్వారా అమలు చేయబడిన అభ్యర్థనలను పంపడానికి వీలు కల్పిస్తుంది.
• CVE-2023-41266 (CVSS స్కోర్: 6.5) - అనధికార ముగింపు బిందువులకు HTTP అభ్యర్థనలను ప్రసారం చేయడానికి ప్రామాణీకరించని, రిమోట్ దాడి చేసే వ్యక్తిని అనుమతించే పాత్ ట్రావర్సల్ దుర్బలత్వం.
• CVE-2023-48365 (CVSS స్కోర్: 9.9) - HTTP హెడర్‌ల యొక్క సరికాని ధృవీకరణ కారణంగా ఏర్పడే ప్రమాణీకరించబడని, రిమోట్ కోడ్ అమలు దుర్బలత్వం, HTTP అభ్యర్థనలను టన్నెలింగ్ చేయడం ద్వారా రిమోట్ దాడి చేసే వ్యక్తి తమ అధికారాలను పెంచుకోవడానికి అనుమతిస్తుంది.

CVE-2023-48365 అనేది CVE-2023-41265 కోసం అసంపూర్ణమైన ప్యాచ్ యొక్క పరిణామం అని గమనించడం ముఖ్యం. CVE-2023-41266తో పాటు రెండు దుర్బలత్వాలు ఆగస్టు 2023 చివరిలో బహిర్గతం చేయబడ్డాయి మరియు CVE-2023-48365 కోసం సెప్టెంబరు 20, 2023న పరిష్కారం అమలు చేయబడింది.

గమనించిన CACTUS Ransomware దాడులలో, గుర్తించబడిన దుర్బలత్వాలు ఉపయోగించబడతాయి, ఇది Qlik Sense షెడ్యూలర్ సేవ యొక్క దుర్వినియోగానికి దారి తీస్తుంది. ఇది అటాకర్‌లు పట్టుదలను ఏర్పరచుకోవడం మరియు రిమోట్ కంట్రోల్‌ని సెటప్ చేసే లక్ష్యంతో అదనపు సాధనాలను డౌన్‌లోడ్ చేయడానికి రూపొందించిన ప్రక్రియలను రూపొందించడానికి వీలు కల్పిస్తుంది.

ఈ దాడులలో పాల్గొన్న అదనపు సాధనాలలో ManageEngine యూనిఫైడ్ ఎండ్‌పాయింట్ మేనేజ్‌మెంట్ అండ్ సెక్యూరిటీ (UEMS), AnyDesk మరియు Plink ఉన్నాయి. ముఖ్యంగా, బెదిరింపు నటులు సోఫోస్ సాఫ్ట్‌వేర్‌ను అన్‌ఇన్‌స్టాల్ చేయడం, అడ్మినిస్ట్రేటర్ ఖాతా పాస్‌వర్డ్‌ను మార్చడం మరియు ప్లింక్ ద్వారా RDP టన్నెల్‌ను సృష్టించడం గమనించబడింది. దాడి గొలుసులు చివరికి CACTUS Ransomware యొక్క విస్తరణకు దారితీస్తాయి, దాడి చేసేవారు డేటా ఎక్స్‌ఫిల్ట్రేషన్ కోసం క్లోన్‌లను కూడా ఉపయోగిస్తున్నారు. ఈ సమగ్ర దాడి వ్యూహం CACTUS Ransomware ప్రచారం యొక్క అధునాతన మరియు బహుళ-దశల స్వభావాన్ని నొక్కి చెబుతుంది.

Ransomware థ్రెట్ యాక్టర్స్ వారి సాంకేతికతలను అభివృద్ధి చేస్తున్నారు

CACTUS Ransomware యొక్క ఆవిర్భావం ransomware ముప్పు ల్యాండ్‌స్కేప్ యొక్క పెరుగుతున్న అధునాతనతను ప్రతిబింబిస్తుంది. ప్రారంభ యాక్సెస్ బ్రోకర్లు మరియు బోట్‌నెట్ యజమానుల నెట్‌వర్క్ ద్వారా పెద్ద ఎత్తున దాడులకు మద్దతు ఇచ్చేలా భూగర్భ ఆర్థిక వ్యవస్థ అభివృద్ధి చెందింది. ransomware బెదిరింపుల విస్తరణకు దోహదపడే ఈ ఎంటిటీలు బాధితుల సిస్టమ్‌లకు బహుళ అనుబంధ నటులకు యాక్సెస్‌ను మళ్లీ విక్రయిస్తాయి.

ransomwareని ఎదుర్కోవడానికి ప్రభుత్వాలు ప్రపంచవ్యాప్త ప్రయత్నాలు చేసినప్పటికీ, Ransomware-as-a-Service (RaaS) వ్యాపార నమూనా లక్ష్యాల నుండి డబ్బును దోపిడీ చేయడానికి ఒక స్థితిస్థాపకంగా మరియు లాభదాయకమైన పద్ధతిగా మిగిలిపోయింది. ఈ మోడల్ యొక్క దీర్ఘాయువు మరియు లాభదాయకత కొనసాగుతుంది, ముప్పు నటులు వారి అక్రమ కార్యకలాపాలను స్వీకరించడానికి మరియు కొనసాగించడానికి అనుమతిస్తుంది.

ఒక ప్రముఖ ransomware సమూహం, Black Basta , ఏప్రిల్ 2022లో రంగ ప్రవేశం చేసింది మరియు 90 మంది బాధితుల నుండి బిట్‌కాయిన్ విమోచన చెల్లింపులలో $107 మిలియన్లకు మించి అక్రమ లాభాలను ఆర్జించినట్లు అంచనా వేయబడింది. హైడ్రా డార్క్ నెట్ మార్కెట్‌ప్లేస్‌తో లావాదేవీలను సులభతరం చేయడం కోసం US ప్రభుత్వం ఏప్రిల్ 2022లో మంజూరు చేసిన రష్యన్ క్రిప్టోకరెన్సీ ఎక్స్ఛేంజ్ అయిన గారాంటెక్స్ ద్వారా ఈ నిధులలో గణనీయమైన భాగాన్ని లాండరింగ్ చేసినట్లు ఇటీవలి ఉమ్మడి పరిశోధన వెల్లడించింది.

ఇంకా, విశ్లేషణ బ్లాక్ బస్తా మరియు ఇప్పుడు పనిచేయని రష్యన్ సైబర్ క్రైమ్ గ్రూప్ కాంటి మధ్య సంబంధాలను వెలికితీసింది, ఇది బ్లాక్ బస్తా ఆవిర్భావం సమయంలోనే కార్యకలాపాలను నిలిపివేసింది. అదనంగా, ransomwareని అమలు చేయడంలో ఉపయోగించే సాధనం QakBot తో సంబంధాలు గుర్తించబడ్డాయి. ఈ సంక్లిష్టమైన సంఘాల వెబ్ ఆధునిక ransomware కార్యకలాపాల యొక్క సంక్లిష్టమైన మరియు పరస్పరం అనుసంధానించబడిన స్వభావాన్ని నొక్కి చెబుతుంది.