Giảm giá nhiều giấy phép
Threat Database Ransomware Phần mềm tống tiền CACTUS

Phần mềm tống tiền CACTUS

Đến năm Mezo năm Ransomware
Dịch sang:
Tiếng Việt Nam

Các nhà nghiên cứu an ninh mạng đang cảnh báo về chiến dịch Ransomware CACTUS lợi dụng các lỗ hổng bảo mật mới được tiết lộ trong Qlik Sense, một nền tảng phân tích đám mây và kinh doanh thông minh. Chiến dịch này thể hiện một sự phát triển đáng chú ý vì nó biểu thị trường hợp đầu tiên được ghi nhận trong đó các tác nhân độc hại sử dụng CACTUS Ransomware đã lợi dụng các lỗ hổng trong Qlik Sense làm phương pháp chính để giành quyền truy cập ban đầu vào các môi trường được nhắm mục tiêu. Điều này nhấn mạnh các chiến thuật đang phát triển được các tác nhân đe dọa sử dụng để khai thác điểm yếu trong các nền tảng phần mềm phổ biến nhằm truy cập trái phép và xâm phạm dữ liệu tiềm ẩn.

Ransomware CACTUS được phát tán thông qua một số lỗ hổng phần mềm

Các nhà phân tích an ninh mạng đã xác định một loạt các cuộc tấn công dường như khai thác ba lỗ hổng được tiết lộ kéo dài vài tháng:

  • CVE-2023-41265 (điểm CVSS: 9,9) - Lỗ hổng này liên quan đến Đường hầm yêu cầu HTTP, cho phép kẻ tấn công từ xa nâng cao đặc quyền của chúng và gửi các yêu cầu được thực thi bởi máy chủ phụ trợ lưu trữ ứng dụng kho lưu trữ.
  • CVE-2023-41266 (điểm CVSS: 6,5) - Một lỗ hổng truyền tải đường dẫn cho phép kẻ tấn công từ xa, không được xác thực truyền các yêu cầu HTTP đến các điểm cuối trái phép.
  • CVE-2023-48365 (điểm CVSS: 9,9) - Một lỗ hổng thực thi mã từ xa, không được xác thực do xác thực tiêu đề HTTP không đúng cách, cho phép kẻ tấn công từ xa nâng cao đặc quyền của chúng thông qua các yêu cầu HTTP đường hầm.

Điều quan trọng cần lưu ý là CVE-2023-48365 là kết quả của bản vá chưa hoàn thiện cho CVE-2023-41265. Cả hai lỗ hổng, cùng với CVE-2023-41266, đều được tiết lộ vào cuối tháng 8 năm 2023 và bản sửa lỗi cho CVE-2023-48365 đã được triển khai vào ngày 20 tháng 9 năm 2023.

Trong các cuộc tấn công của CACTUS Ransomware được quan sát, các lỗ hổng được xác định đã bị khai thác, dẫn đến việc sử dụng sai mục đích dịch vụ Qlik Sense Scheduler. Điều này cho phép kẻ tấn công tạo ra các quy trình được thiết kế để tải xuống các công cụ bổ sung nhằm mục đích thiết lập sự kiên trì và thiết lập điều khiển từ xa.

Các công cụ bổ sung liên quan đến các cuộc tấn công này bao gồm Quản lý và bảo mật điểm cuối hợp nhất ManaEngine (UEMS), AnyDesk và Plink. Đáng chú ý, các tác nhân đe dọa đã được quan sát thấy gỡ cài đặt phần mềm Sophos, thay đổi mật khẩu tài khoản quản trị viên và tạo đường hầm RDP thông qua Plink. Các chuỗi tấn công cuối cùng dẫn đến việc triển khai CACTUS Ransomware, đồng thời những kẻ tấn công cũng sử dụng các bản sao để lọc dữ liệu. Chiến lược tấn công toàn diện này nhấn mạnh tính chất phức tạp và nhiều giai đoạn của chiến dịch Ransomware CACTUS.

Những kẻ đe dọa ransomware đang phát triển kỹ thuật của họ

Sự xuất hiện của CACTUS Ransomware phản ánh mức độ phức tạp ngày càng tăng của bối cảnh mối đe dọa ransomware. Nền kinh tế ngầm đã phát triển để hỗ trợ các cuộc tấn công quy mô lớn thông qua mạng lưới các nhà môi giới truy cập ban đầu và chủ sở hữu mạng botnet. Các thực thể này bán lại quyền truy cập vào hệ thống nạn nhân cho nhiều tác nhân liên kết, góp phần mở rộng các mối đe dọa ransomware.

Bất chấp những nỗ lực toàn cầu của các chính phủ nhằm chống lại phần mềm tống tiền, mô hình kinh doanh Ransomware-as-a-Service (RaaS) vẫn là một phương pháp linh hoạt và mang lại lợi nhuận để tống tiền từ các mục tiêu. Tuổi thọ và lợi nhuận của mô hình này vẫn tồn tại, cho phép các tác nhân đe dọa thích nghi và tiếp tục các hoạt động bất hợp pháp của chúng.

Một nhóm ransomware đáng chú ý, Black Basta , đã xuất hiện vào tháng 4 năm 2022 và ước tính đã thu được lợi nhuận bất hợp pháp vượt quá 107 triệu đô la tiền chuộc Bitcoin từ hơn 90 nạn nhân. Nghiên cứu chung gần đây đã tiết lộ rằng một phần đáng kể trong số tiền này đã được rửa thông qua Garantex, một sàn giao dịch tiền điện tử của Nga bị chính phủ Hoa Kỳ trừng phạt vào tháng 4 năm 2022 vì đã tạo điều kiện thuận lợi cho các giao dịch với thị trường Hydra Dark Net.

Hơn nữa, phân tích đã phát hiện ra mối liên hệ giữa Black Basta và nhóm tội phạm mạng Conti của Nga hiện đã ngừng hoạt động, nhóm này đã ngừng hoạt động cùng thời điểm với sự xuất hiện của Black Basta. Ngoài ra, các mối liên hệ với QakBot , một công cụ được sử dụng để triển khai ransomware, đã được xác định. Mạng lưới liên kết phức tạp này nhấn mạnh tính chất phức tạp và liên kết với nhau của các hoạt động ransomware hiện đại.

xu hướng

'HI TÀI KHOẢN XÁC MINH YÊU CẦU ĐĂNG NHẬP CỐ THI ĐÃ...

Phishing, Spam
Sau khi phân tích toàn diện, các nhà nghiên cứu của infosec đã xác định được một loạt email spam có dòng tiêu đề “HI TÀI KHOẢN XÁC MINH YÊU CẦU ĐĂNG NHẬP CỐ CỬ ĐÃ BỊ CHẶN”. Những email này là một thành phần quan trọng của kế hoạch lừa đảo nhằm lừa người nhận tiết lộ thông tin nhạy cảm và bí mật. Về cơ bản, chúng đang được phổ biến tích cực như một phần của chiến thuật lừa đảo, trong đó thủ phạm...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
24,421
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...