มัลแวร์เรียกค่าไถ่กระบองเพชร
นักวิจัยด้านความปลอดภัยทางไซเบอร์กำลังเตือนเกี่ยวกับแคมเปญ CACTUS Ransomware ที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่เพิ่งเปิดเผยภายใน Qlik Sense ซึ่งเป็นแพลตฟอร์มการวิเคราะห์บนคลาวด์และระบบธุรกิจอัจฉริยะ แคมเปญนี้แสดงให้เห็นถึงการพัฒนาที่น่าสังเกต เนื่องจากเป็นกรณีแรกที่บันทึกไว้ซึ่งผู้ประสงค์ร้ายที่ใช้ CACTUS Ransomware ได้ใช้ประโยชน์จากช่องโหว่ใน Qlik Sense เป็นวิธีการหลักในการเข้าถึงสภาพแวดล้อมเป้าหมายเป็นครั้งแรก สิ่งนี้ตอกย้ำถึงกลยุทธ์ที่เปลี่ยนแปลงไปซึ่งใช้โดยผู้แสดงภัยคุกคามเพื่อใช้ประโยชน์จากจุดอ่อนในแพลตฟอร์มซอฟต์แวร์ยอดนิยมสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตและข้อมูลที่อาจเกิดขึ้น
CACTUS Ransomware ถูกส่งผ่านช่องโหว่ของซอฟต์แวร์หลายตัว
นักวิเคราะห์ความปลอดภัยทางไซเบอร์ได้ระบุชุดการโจมตีที่ดูเหมือนจะใช้ประโยชน์จากช่องโหว่ที่เปิดเผย 3 รายการในช่วงเวลาหลายเดือน:
- CVE-2023-41265 (คะแนน CVSS: 9.9) - ช่องโหว่นี้เกี่ยวข้องกับ HTTP Request Tunneling ซึ่งช่วยให้ผู้โจมตีระยะไกลสามารถยกระดับสิทธิ์ของตนและส่งคำขอที่ดำเนินการโดยเซิร์ฟเวอร์แบ็กเอนด์ที่โฮสต์แอปพลิเคชันพื้นที่เก็บข้อมูล
- CVE-2023-41266 (คะแนน CVSS: 6.5) - ช่องโหว่การข้ามเส้นทางที่อนุญาตให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถส่งคำขอ HTTP ไปยังจุดสิ้นสุดที่ไม่ได้รับอนุญาต
- CVE-2023-48365 (คะแนน CVSS: 9.9) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ไม่ได้รับอนุญาตซึ่งเป็นผลมาจากการตรวจสอบส่วนหัว HTTP ที่ไม่เหมาะสม ทำให้ผู้โจมตีระยะไกลสามารถยกระดับสิทธิ์ของตนผ่านการร้องขอ HTTP แบบทันเนล
สิ่งสำคัญที่ควรทราบก็คือ CVE-2023-48365 เป็นผลมาจากแพทช์ที่ไม่สมบูรณ์สำหรับ CVE-2023-41265 ช่องโหว่ทั้งสองพร้อมกับ CVE-2023-41266 ได้รับการเปิดเผยเมื่อปลายเดือนสิงหาคม 2566 และการแก้ไขสำหรับ CVE-2023-48365 ได้ถูกนำมาใช้ในวันที่ 20 กันยายน 2566
ในการโจมตี CACTUS Ransomware ที่สังเกตพบ ช่องโหว่ที่ระบุจะถูกนำไปใช้ประโยชน์ ซึ่งนำไปสู่การใช้บริการ Qlik Sense Scheduler ในทางที่ผิด สิ่งนี้ทำให้ผู้โจมตีสามารถวางกระบวนการที่ออกแบบมาเพื่อดาวน์โหลดเครื่องมือเพิ่มเติมโดยมีจุดประสงค์เพื่อสร้างความคงอยู่และตั้งค่าการควบคุมระยะไกล
เครื่องมือเพิ่มเติมที่เกี่ยวข้องกับการโจมตีเหล่านี้ ได้แก่ ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk และ Plink โดยเฉพาะอย่างยิ่ง พบว่าผู้คุกคามทำการถอนการติดตั้งซอฟต์แวร์ Sophos เปลี่ยนรหัสผ่านบัญชีผู้ดูแลระบบ และสร้างอุโมงค์ RDP ผ่าน Plink ห่วงโซ่การโจมตีส่งผลให้มีการติดตั้ง CACTUS Ransomware โดยผู้โจมตียังใช้ โคลน เพื่อขโมยข้อมูลอีกด้วย กลยุทธ์การโจมตีที่ครอบคลุมนี้เน้นย้ำลักษณะที่ซับซ้อนและหลายขั้นตอนของแคมเปญ CACTUS Ransomware
ผู้คุกคามแรนซัมแวร์กำลังพัฒนาเทคนิคของพวกเขา
การเกิดขึ้นของ CACTUS Ransomware สะท้อนให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของภาพรวมภัยคุกคามจากแรนซัมแวร์ เศรษฐกิจใต้ดินได้รับการพัฒนาเพื่อรองรับการโจมตีขนาดใหญ่ผ่านเครือข่ายของโบรกเกอร์ที่เข้าถึงเบื้องต้นและเจ้าของบอตเน็ต หน่วยงานเหล่านี้ขายการเข้าถึงระบบของเหยื่อให้กับผู้มีส่วนร่วมหลายราย ซึ่งมีส่วนช่วยในการขยายภัยคุกคามแรนซัมแวร์
แม้ว่ารัฐบาลทั่วโลกจะพยายามต่อสู้กับแรนซัมแวร์ แต่โมเดลธุรกิจ Ransomware-as-a-Service (RaaS) ยังคงเป็นวิธีการที่ยืดหยุ่นและให้ผลกำไรในการขู่กรรโชกเงินจากเป้าหมาย โมเดลนี้ยังคงมีอายุการใช้งานยาวนานและทำกำไรได้ ทำให้ผู้คุกคามสามารถปรับตัวและดำเนินกิจกรรมที่ผิดกฎหมายต่อไปได้
กลุ่มแรนซั่มแวร์ที่มีชื่อเสียงกลุ่มหนึ่งคือ Black Basta เข้ามาในที่เกิดเหตุในเดือนเมษายน 2565 และคาดว่าจะรวบรวมผลกำไรที่ผิดกฎหมายเกินกว่า 107 ล้านดอลลาร์จากการชำระค่าไถ่ Bitcoin จากเหยื่อกว่า 90 ราย การวิจัยร่วมล่าสุดได้เผยให้เห็นว่าส่วนสำคัญของกองทุนเหล่านี้ถูกฟอกผ่าน Garantex ซึ่งเป็นการแลกเปลี่ยนสกุลเงินดิจิทัลของรัสเซียที่ได้รับการอนุมัติโดยรัฐบาลสหรัฐฯ ในเดือนเมษายน 2022 สำหรับการอำนวยความสะดวกในการทำธุรกรรมกับตลาด Hydra Dark Net
นอกจากนี้ การวิเคราะห์ยังได้เปิดเผยความเชื่อมโยงระหว่าง Black Basta และกลุ่มอาชญากรรมไซเบอร์ของรัสเซีย Conti ซึ่งหยุดดำเนินการในช่วงเวลาเดียวกับที่ Black Basta ถือกำเนิดขึ้น นอกจากนี้ยังมีการระบุความเชื่อมโยงกับ QakBot ซึ่งเป็นเครื่องมือที่ใช้ในการปรับใช้แรนซัมแวร์ด้วย การเชื่อมโยงเครือข่ายที่ซับซ้อนนี้ตอกย้ำลักษณะที่ซับซ้อนและเชื่อมโยงถึงกันของการดำเนินการของแรนซัมแวร์สมัยใหม่
