{"id":1071608,"date":"2023-12-01T00:08:51","date_gmt":"2023-12-01T00:08:51","guid":{"rendered":"https:\/\/teknomers.com\/es\/cactus-ransomware-explota-las-vulnerabilidades-de-qlik-sense-en-ataques-dirigidos\/"},"modified":"2023-12-01T00:08:55","modified_gmt":"2023-12-01T00:08:55","slug":"cactus-ransomware-explota-las-vulnerabilidades-de-qlik-sense-en-ataques-dirigidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cactus-ransomware-explota-las-vulnerabilidades-de-qlik-sense-en-ataques-dirigidos\/","title":{"rendered":"CACTUS Ransomware explota las vulnerabilidades de Qlik Sense en ataques dirigidos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">30 de noviembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ransomware\/vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/CACTUS-Ransomware-explota-las-vulnerabilidades-de-Qlik-Sense-en-ataques.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado que una campa\u00f1a de ransomware CACTUS explota fallas de seguridad reveladas recientemente en una plataforma de an\u00e1lisis en la nube e inteligencia empresarial llamada Qlik Sense para afianzarse en entornos espec\u00edficos.<\/p>\n<p>&#8220;Esta campa\u00f1a marca el primer caso documentado [&#8230;] donde los actores de amenazas que implementan el ransomware CACTUS han explotado las vulnerabilidades en Qlik Sense para el acceso inicial&#8221;, afirmaron los investigadores de Arctic Wolf Stefan Hostetler, Markus Neis y Kyle Pagelow. <a rel=\"nofollow noopener\" href=\"https:\/\/www.arcticwolf.com\/resources\/blog\/qlik-sense-exploited-in-cactus-ransomware-campaign\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>La empresa de ciberseguridad, que dijo que est\u00e1 respondiendo a &#8220;varios casos&#8221; de explotaci\u00f3n del software, se\u00f1al\u00f3 que los ataques probablemente se aprovechan de tres fallas que se han revelado en los \u00faltimos tres meses:<\/p>\n<ul>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-41265\" target=\"_blank\"><strong>CVE-2023-41265<\/strong><\/a>  (Puntuaci\u00f3n CVSS: 9,9): una vulnerabilidad de t\u00fanel de solicitudes HTTP que permite a un atacante remoto elevar sus privilegios y enviar solicitudes que son ejecutadas por el servidor backend que aloja la aplicaci\u00f3n del repositorio.<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-41266\" target=\"_blank\"><strong>CVE-2023-41266<\/strong><\/a>  (Puntuaci\u00f3n CVSS: 6,5): una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir solicitudes HTTP a puntos finales no autorizados.<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-48365\" target=\"_blank\"><strong>CVE-2023-48365<\/strong><\/a>  (Puntuaci\u00f3n CVSS: 9,9): una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo no autenticado que surge debido a una validaci\u00f3n inadecuada de los encabezados HTTP, lo que permite a un atacante remoto elevar su privilegio mediante la canalizaci\u00f3n de solicitudes HTTP.<\/li>\n<\/ul>\n<p>Vale la pena se\u00f1alar que CVE-2023-48365 es el resultado de un <a rel=\"nofollow noopener\" href=\"https:\/\/www.praetorian.com\/blog\/doubleqlik-bypassing-the-original-fix-for-cve-2023-41265\/\" target=\"_blank\">parche incompleto<\/a> para CVE-2023-41265, que junto con CVE-2023-41266, fue <a rel=\"nofollow noopener\" href=\"https:\/\/www.praetorian.com\/blog\/qlik-sense-technical-exploit\/\" target=\"_blank\">revelado<\/a> por pretoriano en <a rel=\"nofollow noopener\" href=\"https:\/\/community.qlik.com\/t5\/Support-Updates\/Qlik-Sense-Enterprise-for-Windows-New-Security-Patches-Available\/ba-p\/2108549\" target=\"_blank\">finales de agosto de 2023<\/a>.  Se ha solucionado el problema CVE-2023-48365. <a rel=\"nofollow noopener\" href=\"https:\/\/community.qlik.com\/t5\/Official-Support-Articles\/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows\/tac-p\/2120510\" target=\"_blank\">enviado<\/a> el 20 de septiembre de 2023.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Los-expertos-advierten-sobre-piratas-informaticos-de-ransomware-que-explotan.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En los ataques observados por Arctic Wolf, una explotaci\u00f3n exitosa de las fallas es seguida por el abuso del servicio Qlik Sense Scheduler para generar procesos dise\u00f1ados para descargar herramientas adicionales con el objetivo de establecer persistencia y configurar el control remoto.<\/p>\n<p>Esto incluye ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink.  Tambi\u00e9n se ha observado a los actores de amenazas desinstalando el software de Sophos, cambiando la contrase\u00f1a de la cuenta de administrador y creando un t\u00fanel RDP a trav\u00e9s de Plink.<\/p>\n<p>Las cadenas de ataques culminan con la implementaci\u00f3n del ransomware CACTUS, y los atacantes tambi\u00e9n utilizan rclone para la filtraci\u00f3n de datos.<\/p>\n<h2 style=\"text-align: left;\">El panorama del ransomware en constante evoluci\u00f3n<\/h2>\n<p>La divulgaci\u00f3n se produce cuando el panorama de amenazas de ransomware se ha vuelto m\u00e1s <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/business\/2023\/11\/ransomware-gangs-and-living-off-the-land-lotl-attacks-a-deep-dive\" target=\"_blank\">sofisticado<\/a>y la econom\u00eda sumergida ha evolucionado para facilitar ataques a escala a trav\u00e9s de una red de intermediarios de acceso inicial y propietarios de botnets que revenden el acceso a los sistemas de las v\u00edctimas a varios actores afiliados.<\/p>\n<p>Seg\u00fan datos recopilados por la empresa de ciberseguridad industrial Dragos, el <a rel=\"nofollow noopener\" href=\"https:\/\/www.dragos.com\/blog\/dragos-industrial-ransomware-analysis-q3-2023\/\" target=\"_blank\">n\u00famero de ataques de ransomware<\/a> Las organizaciones industriales que impactan disminuyeron de 253 en el segundo trimestre de 2023 a 231 en el tercer trimestre.  Por el contrario, se produjeron 318 ataques de ransomware. <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/11\/ransomware-review-november-2023\" target=\"_blank\">reportado<\/a> en todos los sectores solo para el mes de octubre de 2023.<\/p>\n<p>A pesar de los esfuerzos continuos de los gobiernos de todo el mundo para abordar el ransomware, el modelo de negocio de ransomware como servicio (RaaS) ha seguido siendo una v\u00eda duradera y lucrativa para extorsionar a los objetivos. <\/p>\n<p>Se estima que Black Basta, un prol\u00edfico grupo de ransomware que apareci\u00f3 en escena en abril de 2022, ha obtenido ganancias ilegales por una suma de al menos 107 millones de d\u00f3lares en pagos de rescate de Bitcoin de m\u00e1s de 90 v\u00edctimas, seg\u00fan una nueva investigaci\u00f3n conjunta publicada por Elliptic y Seguro Corvus.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La mayor\u00eda de estos ingresos se lavaron a trav\u00e9s de Garantex, un intercambio de criptomonedas ruso que fue sancionado por el gobierno de EE. UU. en abril de 2022 por facilitar transacciones con el mercado de la red oscura Hydra.<\/p>\n<p>Es m\u00e1s, el an\u00e1lisis descubri\u00f3 evidencia que vincula a Black Basta con el ahora desaparecido grupo ruso de cibercrimen Conti, que descontinu\u00f3 casi al mismo tiempo que surgi\u00f3 el primero, as\u00ed como QakBot, que se utiliz\u00f3 para implementar el ransomware.<\/p>\n<p>&#8220;Aproximadamente el 10% del monto del rescate se envi\u00f3 a Qakbot, en los casos en que participaron en brindar acceso a la v\u00edctima&#8221;, Elliptic <a rel=\"nofollow noopener\" href=\"https:\/\/www.elliptic.co\/blog\/black-basta-ransomware-victims-have-paid-over-100-million\" target=\"_blank\">anotado<\/a>y agreg\u00f3 que &#8220;rastre\u00f3 Bitcoin por valor de varios millones de d\u00f3lares desde billeteras vinculadas a Conti hasta aquellas asociadas con el operador Black Basta&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/cactus-ransomware-exploits-qlik-sense.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80230 de noviembre de 2023\ue804Sala de redacci\u00f3nRansomware\/vulnerabilidad Se ha observado que una campa\u00f1a de ransomware CACTUS explota fallas<\/p>\n","protected":false},"author":1,"featured_media":1071609,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,50259,4664,34682,6614,4662,4668,246,201033,4654,201031,4659,4653,4655,218822,4883,4666,4665,64470,201032,4660,12260],"class_list":["post-1071608","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-cactus","tag-como-hackear","tag-dirigidos","tag-explota","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-qlik","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sense","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1071608","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1071608"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1071608\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1071609"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1071608"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1071608"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1071608"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}