30 Kasım 2023Haber odasıFidye Yazılımı / Güvenlik Açığı

Bir CACTUS fidye yazılımı kampanyasının, hedeflenen ortamlara erişim sağlamak için Qlik Sense adlı bir bulut analitiği ve iş zekası platformunda yakın zamanda açıklanan güvenlik açıklarından yararlandığı gözlemlendi.

“Bu kampanya belgelenen ilk örneği işaret ediyor […] Arctic Wolf araştırmacıları Stefan Hostetler, Markus Neis ve Kyle Pagelow, CACTUS fidye yazılımını dağıtan tehdit aktörlerinin ilk erişim için Qlik Sense’deki güvenlik açıklarından yararlandığı yer. söz konusu.

Yazılımın “birkaç kez” istismarına yanıt verdiğini söyleyen siber güvenlik şirketi, saldırıların muhtemelen son üç ayda açıklanan üç kusurdan yararlandığını belirtti:

  • CVE-2023-41265 (CVSS puanı: 9,9) – Uzaktaki bir saldırganın ayrıcalıklarını yükseltmesine ve depo uygulamasını barındıran arka uç sunucu tarafından yürütülen istekleri göndermesine olanak tanıyan bir HTTP İstek Tüneli açma güvenlik açığı.
  • CVE-2023-41266 (CVSS puanı: 6,5) – Kimliği doğrulanmamış uzaktaki bir saldırganın HTTP isteklerini yetkisiz uç noktalara iletmesine olanak tanıyan bir yol geçiş güvenlik açığı.
  • CVE-2023-48365 (CVSS puanı: 9,9) – HTTP başlıklarının uygunsuz şekilde doğrulanması nedeniyle ortaya çıkan, kimlik doğrulaması yapılmadan uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın HTTP isteklerini tünelleyerek ayrıcalıklarını yükseltmesine olanak tanır.

CVE-2023-48365’in bir sonucu olduğunu belirtmekte fayda var. tamamlanmamış yama CVE-2023-41266 ile birlikte CVE-2023-41265 için açıklandı Praetorian tarafından Ağustos 2023 sonu. CVE-2023-48365 için bir düzeltme yapıldı gönderildi 20 Eylül 2023’te.

Arctic Wolf tarafından gözlemlenen saldırılarda, kusurlardan başarılı bir şekilde yararlanılmasının ardından, kalıcılık oluşturma ve uzaktan kontrol kurma amacıyla ek araçlar indirmek üzere tasarlanmış süreçleri oluşturmak için Qlik Sense Scheduler hizmetinin kötüye kullanılması izleniyor.

Buna ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk ve Plink dahildir. Tehdit aktörlerinin ayrıca Sophos yazılımını kaldırdığı, yönetici hesabı şifresini değiştirdiği ve Plink üzerinden RDP tüneli oluşturduğu da gözlemlendi.

Saldırı zincirleri, CACTUS fidye yazılımının yayılmasıyla doruğa çıkıyor ve saldırganlar aynı zamanda veri sızıntısı için rclone kullanıyor.

Sürekli Gelişen Fidye Yazılımı Ortamı

Açıklama, fidye yazılımı tehdit ortamının daha da büyümesiyle birlikte geldi komplikeve yeraltı ekonomisi, kurban sistemlere erişimi çeşitli bağlı aktörlere yeniden satan ilk erişim komisyoncuları ve botnet sahiplerinden oluşan bir ağ aracılığıyla büyük ölçekte saldırıları kolaylaştıracak şekilde gelişti.

Endüstriyel siber güvenlik firması Dragos’un derlediği verilere göre, Fidye yazılımı saldırılarının sayısı Etkileyen endüstriyel kuruluşlar 2023’ün ikinci çeyreğindeki 253’ten üçüncü çeyrekte 231’e geriledi. Buna karşılık 318 fidye yazılımı saldırısı gerçekleşti rapor edildi Yalnızca Ekim 2023 ayı için tüm sektörlerde.

Dünyanın dört bir yanındaki hükümetlerin fidye yazılımıyla mücadeleye yönelik süregelen çabalarına rağmen, hizmet olarak fidye yazılımı (RaaS) iş modeli, hedeflerden zorla para koparmak için kalıcı ve kazançlı bir yol olmaya devam etti.

Elliptic ve tarafından yayınlanan yeni ortak araştırmaya göre, Nisan 2022’de ortaya çıkan üretken bir fidye yazılımı grubu olan Black Basta’nın, 90’dan fazla kurbandan Bitcoin fidye ödemelerinden en az 107 milyon dolar tutarında yasa dışı kar elde ettiği tahmin ediliyor. Corvus Sigorta.

Bu gelirlerin büyük bir kısmı, Hydra darknet pazarıyla işlemleri kolaylaştırmak için Nisan 2022’de ABD hükümeti tarafından onaylanan bir Rus kripto para borsası olan Garantex aracılığıyla aklandı.

Dahası, analiz, Black Basta’yı, eskisinin ortaya çıktığı sıralarda faaliyetlerini durduran, artık feshedilmiş olan Rus siber suç grubu Conti’ye ve fidye yazılımının dağıtımı için kullanılan QakBot’a bağlayan kanıtları ortaya çıkardı.

Elliptic, “Fidye miktarının yaklaşık yüzde 10’u, kurbana erişim sağlanmasına dahil oldukları durumlarda Qakbot’a iletildi.” kayıt edilmiş“Conti bağlantılı cüzdanlardan Black Basta operatörüyle ilişkili cüzdanlara kadar birkaç milyon dolar değerindeki Bitcoin’in izini sürdüğünü” ekledi.



siber-2