Програмне забезпечення-вимагач CACTUS

Дослідники кібербезпеки попереджають про кампанію CACTUS Ransomware, яка використовує нещодавно виявлені вразливості безпеки в Qlik Sense, платформі хмарної аналітики та бізнес-аналітики. Ця кампанія є важливою подією, оскільки вона означає перший задокументований випадок, коли зловмисники, які використовують програмне забезпечення-вимагач CACTUS, використовували вразливості в Qlik Sense як основний метод для отримання початкового доступу до цільових середовищ. Це підкреслює тактику розвитку, яку застосовують суб’єкти загроз, щоб використовувати слабкі місця в популярних програмних платформах для несанкціонованого доступу та потенційного зламу даних.

Програмне забезпечення-вимагач CACTUS поширюється через кілька вразливостей програмного забезпечення

Аналітики з кібербезпеки ідентифікували серію атак, які, як видається, використовують три розкриті вразливості протягом кількох місяців:

• CVE-2023-41265 (оцінка CVSS: 9,9) – ця вразливість включає тунелювання HTTP-запитів, що дозволяє віддаленому зловмиснику підвищувати свої привілеї та надсилати запити, що виконуються сервером серверної частини, на якому розміщено додаток-репозиторій.
• CVE-2023-41266 (оцінка CVSS: 6,5) – уразливість проходження шляху, яка дозволяє неавтентифікованому віддаленому зловмиснику передавати HTTP-запити до неавторизованих кінцевих точок.
• CVE-2023-48365 (оцінка CVSS: 9,9) — уразливість неавтентифікованого віддаленого виконання коду, що виникає внаслідок неправильної перевірки заголовків HTTP, що дозволяє віддаленому зловмиснику підвищити свої привілеї через тунелювання запитів HTTP.

Важливо зазначити, що CVE-2023-48365 є наслідком неповного патча для CVE-2023-41265. Обидві вразливості разом із CVE-2023-41266 було розкрито наприкінці серпня 2023 року, а виправлення для CVE-2023-48365 було реалізовано 20 вересня 2023 року.

Під час спостережуваних атак CACTUS Ransomware використовуються виявлені вразливості, що призводить до неправильного використання служби Qlik Sense Scheduler. Це дозволяє зловмисникам створювати процеси, призначені для завантаження додаткових інструментів з метою встановлення постійності та налаштування дистанційного керування.

До додаткових інструментів, задіяних у цих атаках, належать ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk і Plink. Примітно, що зловмисники видаляли програмне забезпечення Sophos, змінювали пароль облікового запису адміністратора та створювали RDP-тунель через Plink. Ланцюжки атак зрештою призводять до розгортання програми-вимагача CACTUS, причому зловмисники також використовують клони для викрадання даних. Ця комплексна стратегія атаки підкреслює складний і багатоетапний характер кампанії CACTUS Ransomware.

Зловмисники програм-вимагачів розвивають свої методи

Поява програми-вимагача CACTUS відображає дедалі складніший ландшафт програм-вимагачів. Підпільна економіка розвинулася для підтримки широкомасштабних атак через мережу посередників початкового доступу та власників ботнетів. Ці суб’єкти перепродають доступ до систем-жертв багатьом афілійованим особам, сприяючи поширенню загроз програм-вимагачів.

Незважаючи на глобальні зусилля урядів щодо боротьби з програмами-вимагачами, бізнес-модель програм-вимагачів як послуги (RaaS) залишається стійким і прибутковим методом виманювання грошей у цілей. Довговічність і прибутковість цієї моделі зберігаються, дозволяючи суб’єктам загрози адаптуватися та продовжувати свою незаконну діяльність.

Одна відома група програм-вимагачів, Black Basta , вийшла на сцену в квітні 2022 року та, за оцінками, накопичила незаконний прибуток понад 107 мільйонів доларів у вигляді викупу в біткойнах від понад 90 жертв. Недавнє спільне дослідження показало, що значна частина цих коштів була відмита через Garantex, російську криптовалютну біржу, на яку уряд США наклав санкції в квітні 2022 року за сприяння транзакціям на ринку Hydra Dark Net.

Крім того, аналіз виявив зв’язки між Black Basta та неіснуючою російською кіберзлочинною групою Conti, яка припинила свою діяльність приблизно в той самий час, коли з’явився Black Basta. Крім того, виявлено зв’язки з QakBot , інструментом, який використовується для розгортання програми-вимагача. Ця заплутана мережа асоціацій підкреслює складний і взаємопов’язаний характер сучасних операцій з програмами-вимагачами.