CACTUS Fidye Yazılımı

Siber güvenlik araştırmacıları, bulut analitiği ve iş zekası platformu Qlik Sense'de yeni açıklanan güvenlik açıklarından yararlanan bir CACTUS Fidye Yazılımı kampanyası hakkında uyarıda bulunuyor. Bu kampanya, CACTUS Ransomware'i kullanan kötü niyetli aktörlerin, hedeflenen ortamlara ilk erişim elde etmek için birincil yöntem olarak Qlik Sense'deki güvenlik açıklarından yararlandığı belgelenen ilk vakayı temsil etmesi nedeniyle kayda değer bir gelişmeyi temsil ediyor. Bu, tehdit aktörlerinin, popüler yazılım platformlarındaki zayıf noktalardan yetkisiz erişim ve potansiyel veri ihlali amacıyla faydalanmak için kullandıkları gelişen taktiklerin altını çiziyor.

CACTUS Fidye Yazılımı Çeşitli Yazılım Açıkları Yoluyla Yayılıyor

Siber güvenlik analistleri, birkaç ay boyunca açıklanan üç güvenlik açığından yararlanan bir dizi saldırı tespit etti:

• CVE-2023-41265 (CVSS puanı: 9,9) - Bu güvenlik açığı, uzaktaki bir saldırganın ayrıcalıklarını yükseltmesine ve depo uygulamasını barındıran arka uç sunucu tarafından yürütülen istekleri göndermesine olanak tanıyan HTTP İstek Tüneli Oluşturmayı içerir.
• CVE-2023-41266 (CVSS puanı: 6,5) - Kimliği doğrulanmamış, uzaktaki bir saldırganın HTTP isteklerini yetkisiz uç noktalara iletmesine olanak tanıyan bir yol geçiş güvenlik açığı.
• CVE-2023-48365 (CVSS puanı: 9,9) - HTTP başlıklarının uygunsuz şekilde doğrulanmasından kaynaklanan, kimliği doğrulanmamış, uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın HTTP isteklerini tünelleyerek ayrıcalıklarını yükseltmesine olanak tanır.

CVE-2023-48365'in, CVE-2023-41265 için tamamlanmamış bir yamanın bir sonucu olduğunu unutmamak önemlidir. CVE-2023-41266 ile birlikte her iki güvenlik açığı da Ağustos 2023'ün sonlarında açıklandı ve 20 Eylül 2023'te CVE-2023-48365 için bir düzeltme uygulandı.

Gözlemlenen CACTUS Ransomware saldırılarında, belirlenen güvenlik açıklarından yararlanılarak Qlik Sense Scheduler hizmetinin kötüye kullanılmasına yol açılmaktadır. Bu, saldırganların kalıcılık sağlamak ve uzaktan kontrol kurmak amacıyla ek araçlar indirmek için tasarlanmış süreçler oluşturmasına olanak tanır.

Bu saldırılarda yer alan ek araçlar arasında ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk ve Plink yer alıyor. Özellikle tehdit aktörlerinin Sophos yazılımını kaldırdığı, yönetici hesabı şifresini değiştirdiği ve Plink aracılığıyla bir RDP tüneli oluşturduğu gözlemlendi. Saldırı zincirleri sonuçta CACTUS Fidye Yazılımının yayılmasıyla sonuçlanır ve saldırganlar veri sızdırma için klonları da kullanır. Bu kapsamlı saldırı stratejisi, CACTUS Fidye Yazılımı kampanyasının karmaşık ve çok aşamalı doğasının altını çiziyor.

Fidye Yazılımı Tehdit Aktörleri Tekniklerini Geliştiriyor

CACTUS Fidye Yazılımının ortaya çıkışı, fidye yazılımı tehdit ortamının artan karmaşıklığını yansıtıyor. Yeraltı ekonomisi, ilk erişim aracıları ve botnet sahiplerinden oluşan bir ağ aracılığıyla büyük ölçekli saldırıları destekleyecek şekilde gelişti. Bu varlıklar kurban sistemlerine erişimi birden fazla bağlı aktöre satarak fidye yazılımı tehditlerinin yayılmasına katkıda bulunuyor.

Hükümetlerin fidye yazılımıyla mücadeleye yönelik küresel çabalarına rağmen, Hizmet Olarak Fidye Yazılımı (RaaS) iş modeli, hedeflerden zorla para koparmak için dayanıklı ve karlı bir yöntem olmaya devam ediyor. Bu modelin uzun ömürlülüğü ve kârlılığı devam ediyor ve tehdit aktörlerinin uyum sağlamasına ve yasa dışı faaliyetlerine devam etmesine olanak tanıyor.

Önemli bir fidye yazılımı grubu olan Black Basta , Nisan 2022'de sahneye çıktı ve 90'dan fazla kurbandan Bitcoin fidye ödemelerinden 107 milyon doları aşan yasa dışı kar elde ettiği tahmin ediliyor. Son zamanlarda yapılan ortak araştırmalar, bu fonların önemli bir kısmının, Hydra Dark Net pazarıyla işlemleri kolaylaştırmak için Nisan 2022'de ABD hükümeti tarafından onaylanan bir Rus kripto para borsası olan Garantex aracılığıyla aklandığını ortaya çıkardı.

Ayrıca analiz, Black Basta ile Black Basta'nın ortaya çıkışıyla hemen hemen aynı dönemde faaliyetlerini durduran , şu anda feshedilmiş olan Rus siber suç grubu Conti arasındaki bağlantıları ortaya çıkardı. Ayrıca fidye yazılımının dağıtımında kullanılan bir araç olan QakBot ile bağlantılar da belirlendi. Bu karmaşık ilişkiler ağı, modern fidye yazılımı operasyonlarının karmaşık ve birbirine bağlı doğasının altını çiziyor.