Se ha observado que una campaña de ransomware CACTUS explota fallas de seguridad reveladas recientemente en una plataforma de análisis en la nube e inteligencia empresarial llamada Qlik Sense para afianzarse en entornos específicos.
«Esta campaña marca el primer caso documentado […] donde los actores de amenazas que implementan el ransomware CACTUS han explotado las vulnerabilidades en Qlik Sense para el acceso inicial», afirmaron los investigadores de Arctic Wolf Stefan Hostetler, Markus Neis y Kyle Pagelow. dicho.
La empresa de ciberseguridad, que dijo que está respondiendo a «varios casos» de explotación del software, señaló que los ataques probablemente se aprovechan de tres fallas que se han revelado en los últimos tres meses:
- CVE-2023-41265 (Puntuación CVSS: 9,9): una vulnerabilidad de túnel de solicitudes HTTP que permite a un atacante remoto elevar sus privilegios y enviar solicitudes que son ejecutadas por el servidor backend que aloja la aplicación del repositorio.
- CVE-2023-41266 (Puntuación CVSS: 6,5): una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir solicitudes HTTP a puntos finales no autorizados.
- CVE-2023-48365 (Puntuación CVSS: 9,9): una vulnerabilidad de ejecución remota de código no autenticado que surge debido a una validación inadecuada de los encabezados HTTP, lo que permite a un atacante remoto elevar su privilegio mediante la canalización de solicitudes HTTP.
Vale la pena señalar que CVE-2023-48365 es el resultado de un parche incompleto para CVE-2023-41265, que junto con CVE-2023-41266, fue revelado por pretoriano en finales de agosto de 2023. Se ha solucionado el problema CVE-2023-48365. enviado el 20 de septiembre de 2023.
En los ataques observados por Arctic Wolf, una explotación exitosa de las fallas es seguida por el abuso del servicio Qlik Sense Scheduler para generar procesos diseñados para descargar herramientas adicionales con el objetivo de establecer persistencia y configurar el control remoto.
Esto incluye ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink. También se ha observado a los actores de amenazas desinstalando el software de Sophos, cambiando la contraseña de la cuenta de administrador y creando un túnel RDP a través de Plink.
Las cadenas de ataques culminan con la implementación del ransomware CACTUS, y los atacantes también utilizan rclone para la filtración de datos.
El panorama del ransomware en constante evolución
La divulgación se produce cuando el panorama de amenazas de ransomware se ha vuelto más sofisticadoy la economía sumergida ha evolucionado para facilitar ataques a escala a través de una red de intermediarios de acceso inicial y propietarios de botnets que revenden el acceso a los sistemas de las víctimas a varios actores afiliados.
Según datos recopilados por la empresa de ciberseguridad industrial Dragos, el número de ataques de ransomware Las organizaciones industriales que impactan disminuyeron de 253 en el segundo trimestre de 2023 a 231 en el tercer trimestre. Por el contrario, se produjeron 318 ataques de ransomware. reportado en todos los sectores solo para el mes de octubre de 2023.
A pesar de los esfuerzos continuos de los gobiernos de todo el mundo para abordar el ransomware, el modelo de negocio de ransomware como servicio (RaaS) ha seguido siendo una vía duradera y lucrativa para extorsionar a los objetivos.
Se estima que Black Basta, un prolífico grupo de ransomware que apareció en escena en abril de 2022, ha obtenido ganancias ilegales por una suma de al menos 107 millones de dólares en pagos de rescate de Bitcoin de más de 90 víctimas, según una nueva investigación conjunta publicada por Elliptic y Seguro Corvus.
La mayoría de estos ingresos se lavaron a través de Garantex, un intercambio de criptomonedas ruso que fue sancionado por el gobierno de EE. UU. en abril de 2022 por facilitar transacciones con el mercado de la red oscura Hydra.
Es más, el análisis descubrió evidencia que vincula a Black Basta con el ahora desaparecido grupo ruso de cibercrimen Conti, que descontinuó casi al mismo tiempo que surgió el primero, así como QakBot, que se utilizó para implementar el ransomware.
«Aproximadamente el 10% del monto del rescate se envió a Qakbot, en los casos en que participaron en brindar acceso a la víctima», Elliptic anotadoy agregó que «rastreó Bitcoin por valor de varios millones de dólares desde billeteras vinculadas a Conti hasta aquellas asociadas con el operador Black Basta».