Mga Multi-Lisensya na Diskwento
Threat Database Ransomware CACTUS Ransomware

CACTUS Ransomware

Sa pamamagitan ng Mezo sa Ransomware
Isalin To:
Wikang Filipino

Nagbabala ang mga mananaliksik sa Cybersecurity tungkol sa isang kampanyang CACTUS Ransomware na gumagamit ng mga bagong ibinunyag na kahinaan sa seguridad sa loob ng Qlik Sense, isang cloud analytics at business intelligence platform. Ang kampanyang ito ay kumakatawan sa isang kapansin-pansing pag-unlad dahil ito ay nagpapahiwatig ng unang dokumentadong kaso kung saan ang mga malisyosong aktor na gumagamit ng CACTUS Ransomware ay gumamit ng mga kahinaan sa Qlik Sense bilang kanilang pangunahing paraan upang makakuha ng paunang pag-access sa mga naka-target na kapaligiran. Binibigyang-diin nito ang mga umuusbong na taktika na ginagamit ng mga aktor ng pagbabanta upang pagsamantalahan ang mga kahinaan sa mga sikat na platform ng software para sa hindi awtorisadong pag-access at potensyal na kompromiso sa data.

Ang CACTUS Ransomware ay Naihatid sa pamamagitan ng Ilang Mga Kahinaan sa Software

Natukoy ng mga analyst ng cybersecurity ang isang serye ng mga pag-atake na lumalabas na nagsasamantala sa tatlong ibinunyag na kahinaan sa loob ng ilang buwan:

  • CVE-2023-41265 (CVSS score: 9.9) - Ang kahinaang ito ay nagsasangkot ng HTTP Request Tunneling, na nagbibigay-daan sa isang malayuang umaatake na itaas ang kanilang mga pribilehiyo at magpadala ng mga kahilingang isinagawa ng backend server na nagho-host ng repositoryong application.
  • CVE-2023-41266 (CVSS score: 6.5) - Isang kahinaan sa pagtawid sa landas na nagbibigay-daan sa isang hindi napatotohanan, malayuang umaatake na magpadala ng mga kahilingan sa HTTP sa mga hindi awtorisadong endpoint.
  • CVE-2023-48365 (CVSS score: 9.9) - Isang hindi napatotohanan, malayuang code execution na kahinaan na nagreresulta mula sa hindi wastong pagpapatunay ng mga header ng HTTP, na nagpapahintulot sa isang malayuang umaatake na itaas ang kanilang mga pribilehiyo sa pamamagitan ng pag-tunnel ng mga kahilingan sa HTTP.

Mahalagang tandaan na ang CVE-2023-48365 ay bunga ng isang hindi kumpletong patch para sa CVE-2023-41265. Ang parehong mga kahinaan, kasama ang CVE-2023-41266, ay isiniwalat noong huling bahagi ng Agosto 2023, at isang pag-aayos para sa CVE-2023-48365 ay ipinatupad noong Setyembre 20, 2023.

Sa naobserbahang pag-atake ng CACTUS Ransomware, ang mga natukoy na kahinaan ay pinagsamantalahan, na humahantong sa maling paggamit ng serbisyo ng Qlik Sense Scheduler. Binibigyang-daan nito ang mga umaatake na mag-spawn ng mga prosesong idinisenyo upang mag-download ng mga karagdagang tool na may layuning magtatag ng pagtitiyaga at mag-set up ng remote control.

Kasama sa mga karagdagang tool na kasangkot sa mga pag-atake na ito ang ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk, at Plink. Kapansin-pansin, ang mga banta ng aktor ay naobserbahang nag-uninstall ng Sophos software, nagpapalit ng password ng administrator account, at gumagawa ng RDP tunnel sa pamamagitan ng Plink. Ang mga chain ng pag-atake sa huli ay nagreresulta sa pag-deploy ng CACTUS Ransomware, kung saan ang mga umaatake ay gumagamit din ng mga clone para sa data exfiltration. Binibigyang-diin ng komprehensibong diskarte sa pag-atake na ito ang pagiging sopistikado at maraming yugto ng kampanyang CACTUS Ransomware.

Ang Ransomware Threat Actor ay Nagbabago ng Kanilang Mga Teknik

Ang paglitaw ng CACTUS Ransomware ay sumasalamin sa pagtaas ng pagiging sopistikado ng landscape ng banta ng ransomware. Ang underground na ekonomiya ay umunlad upang suportahan ang malakihang pag-atake sa pamamagitan ng isang network ng mga paunang access broker at mga may-ari ng botnet. Ang mga entity na ito ay muling nagbebenta ng access sa mga system ng biktima sa maraming kaakibat na aktor, na nag-aambag sa pagpapalawak ng mga banta sa ransomware.

Sa kabila ng mga pandaigdigang pagsisikap ng mga pamahalaan na labanan ang ransomware, ang modelo ng negosyo ng Ransomware-as-a-Service (RaaS) ay nananatiling isang nababanat at kumikitang paraan para sa pangingikil ng pera mula sa mga target. Ang mahabang buhay at kakayahang kumita ng modelong ito ay nagpapatuloy, na nagpapahintulot sa mga aktor ng pagbabanta na umangkop at magpatuloy sa kanilang mga ipinagbabawal na aktibidad.

Isang kilalang grupo ng ransomware, Black Basta , ang pumasok sa eksena noong Abril 2022 at tinatayang nakaipon ng mga ipinagbabawal na kita na lampas sa $107 milyon sa mga pagbabayad ng ransom ng Bitcoin mula sa mahigit 90 biktima. Ang kamakailang pinagsamang pananaliksik ay nagsiwalat na ang isang malaking bahagi ng mga pondong ito ay na-launder sa pamamagitan ng Garantex, isang Russian cryptocurrency exchange na pinahintulutan ng gobyerno ng US noong Abril 2022 para sa pagpapadali ng mga transaksyon sa Hydra Dark Net marketplace.

Higit pa rito, natuklasan ng pagsusuri ang mga koneksyon sa pagitan ng Black Basta at ng wala na ngayong Russian cybercrime group na Conti, na huminto sa mga operasyon sa parehong oras ng paglitaw ng Black Basta. Bukod pa rito, natukoy ang mga kaugnayan sa QakBot , isang tool na ginamit sa pag-deploy ng ransomware. Binibigyang-diin ng masalimuot na web ng mga asosasyon na ito ang masalimuot at magkakaugnay na katangian ng mga modernong operasyon ng ransomware.

Trending

Pinaka Nanood

Naglo-load...