Er is waargenomen dat er een CACTUS-ransomwarecampagne is uitgevoerd waarbij gebruik werd gemaakt van onlangs onthulde beveiligingsfouten in een cloudanalyse- en business intelligence-platform genaamd Qlik Sense om voet aan de grond te krijgen in gerichte omgevingen.
“Deze campagne markeert het eerste gedocumenteerde exemplaar […] waar bedreigingsactoren die CACTUS-ransomware inzetten, kwetsbaarheden in Qlik Sense hebben uitgebuit voor initiële toegang”, aldus Arctic Wolf-onderzoekers Stefan Hostetler, Markus Neis en Kyle Pagelow.
Het cyberbeveiligingsbedrijf, dat zei te reageren op “verschillende gevallen” van exploitatie van de software, merkte op dat de aanvallen waarschijnlijk misbruik maken van drie tekortkomingen die de afgelopen drie maanden zijn onthuld:
- CVE-2023-41265 (CVSS-score: 9,9) – Een HTTP Request Tunneling-kwetsbaarheid waarmee een externe aanvaller zijn privileges kan vergroten en verzoeken kan verzenden die worden uitgevoerd door de backend-server die als host fungeert voor de repository-applicatie.
- CVE-2023-41266 (CVSS-score: 6,5) – Een kwetsbaarheid bij het doorlopen van paden waardoor een niet-geverifieerde externe aanvaller HTTP-verzoeken naar ongeautoriseerde eindpunten kan verzenden.
- CVE-2023-48365 (CVSS-score: 9,9) – Een niet-geverifieerde kwetsbaarheid voor het uitvoeren van externe code die ontstaat als gevolg van onjuiste validatie van HTTP-headers, waardoor een aanvaller op afstand zijn privileges kan vergroten door HTTP-verzoeken te tunnelen.
Het is vermeldenswaard dat CVE-2023-48365 het resultaat is van een onvolledige patch voor CVE-2023-41265, die samen met CVE-2023-41266 eind augustus 2023 door Praetorian werd bekendgemaakt. Een oplossing voor CVE-2023-48365 werd verzonden op 20 september 2023.
Bij de door Arctic Wolf waargenomen aanvallen wordt een succesvolle exploitatie van de fouten gevolgd door misbruik van de Qlik Sense Scheduler-service om processen voort te brengen die zijn ontworpen om extra tools te downloaden met als doel persistentie te bewerkstelligen en bediening op afstand in te stellen.
Dit omvat ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk en Plink. Er is ook waargenomen dat de bedreigingsactoren Sophos-software verwijderden, het wachtwoord van de beheerdersaccount veranderden en een RDP-tunnel creëerden via Plink.
De aanvalsketens culmineren in de inzet van CACTUS-ransomware, waarbij de aanvallers ook rclone gebruiken voor gegevensexfiltratie.
Het steeds evoluerende ransomware-landschap
De onthulling komt naarmate het landschap van ransomware-bedreigingen geavanceerder is geworden en de ondergrondse economie is geëvolueerd om aanvallen op grote schaal mogelijk te maken via een netwerk van initiële toegangsmakelaars en botnet-eigenaren die de toegang tot slachtoffersystemen doorverkopen aan verschillende aangesloten actoren.
Volgens gegevens verzameld door het industriële cyberbeveiligingsbedrijf Dragos is het aantal ransomware-aanvallen dat gevolgen heeft voor industriële organisaties gedaald van 253 in het tweede kwartaal van 2023 naar 231 in het derde kwartaal. Daarentegen werden alleen al in de maand oktober 2023 in alle sectoren 318 ransomware-aanvallen gemeld.
Ondanks voortdurende inspanningen van overheden over de hele wereld om ransomware aan te pakken, is het ransomware-as-a-service (RaaS) bedrijfsmodel nog steeds een duurzame en lucratieve manier om geld van doelwitten af te persen.
Black Basta, een productieve ransomwaregroep die in april 2022 op het toneel verscheen, heeft naar schatting ten minste 107 miljoen dollar aan Bitcoin-losgeld van meer dan 90 slachtoffers binnengehaald, volgens nieuw gezamenlijk onderzoek vrijgegeven door Elliptic en Corvus Verzekeringen.
Het merendeel van deze opbrengsten werd witgewassen via Garantex, een Russische cryptocurrency-uitwisseling die in april 2022 door de Amerikaanse overheid werd gesanctioneerd voor het faciliteren van transacties met de Hydra darknet-marktplaats.
Bovendien bracht de analyse bewijsmateriaal aan het licht dat Black Basta koppelde aan de inmiddels ter ziele gegane Russische cybercriminaliteitsgroep Conti, die stopte rond dezelfde tijd dat eerstgenoemde opkwam, evenals QakBot, die werd gebruikt om de ransomware in te zetten.
“Ongeveer 10% van het losgeldbedrag werd doorgestuurd naar Qakbot, in gevallen waarin zij betrokken waren bij het verlenen van toegang aan het slachtoffer,” merkte Elliptic op, eraan toevoegend dat “Bitcoin ter waarde van enkele miljoenen dollars werd getraceerd van Conti-gekoppelde portemonnees naar die geassocieerd met de Black Basta-operator.”
