Bir CACTUS fidye yazılımı kampanyasının, hedeflenen ortamlara erişim sağlamak için Qlik Sense adlı bir bulut analitiği ve iş zekası platformunda yakın zamanda açıklanan güvenlik açıklarından yararlandığı gözlemlendi.
“Bu kampanya belgelenen ilk örnektir […] Arctic Wolf araştırmacıları Stefan Hostetler, Markus Neis ve Kyle Pagelow, CACTUS fidye yazılımını dağıtan tehdit aktörlerinin ilk erişim için Qlik Sense’deki güvenlik açıklarından yararlandığı yer.
Yazılımın “birkaç kez” istismarına yanıt verdiğini söyleyen siber güvenlik şirketi, saldırıların muhtemelen son üç ayda açıklanan üç kusurdan yararlandığını belirtti:
- CVE-2023-41265 (CVSS puanı: 9,9) – Uzaktaki bir saldırganın ayrıcalıklarını yükseltmesine ve depo uygulamasını barındıran arka uç sunucu tarafından yürütülen istekleri göndermesine olanak tanıyan bir HTTP İstek Tüneli açma güvenlik açığı.
- CVE-2023-41266 (CVSS puanı: 6,5) – Kimliği doğrulanmamış uzaktaki bir saldırganın HTTP isteklerini yetkisiz uç noktalara iletmesine olanak tanıyan bir yol geçiş güvenlik açığı.
- CVE-2023-48365 (CVSS puanı: 9,9) – HTTP başlıklarının uygunsuz şekilde doğrulanması nedeniyle ortaya çıkan, kimlik doğrulaması yapılmadan uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın HTTP isteklerini tünelleyerek ayrıcalıklarını yükseltmesine olanak tanır.
CVE-2023-48365’in, CVE-2023-41266 ile birlikte Praetorian tarafından Ağustos 2023 sonlarında açıklanan CVE-2023-41265 için tamamlanmamış bir yamanın sonucu olduğunu belirtmekte fayda var. CVE-2023-48365 için bir düzeltme yapıldı. 20 Kasım 2023’te gönderildi.
Arctic Wolf tarafından gözlemlenen saldırılarda, kusurlardan başarılı bir şekilde yararlanılmasının ardından, kalıcılık oluşturma ve uzaktan kontrol kurma amacıyla ek araçlar indirmek üzere tasarlanmış süreçleri oluşturmak için Qlik Sense Scheduler hizmetinin kötüye kullanılması izleniyor.
Buna ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk ve Plink dahildir. Tehdit aktörlerinin ayrıca Sophos yazılımını kaldırdığı, yönetici hesabı şifresini değiştirdiği ve Plink üzerinden RDP tüneli oluşturduğu da gözlemlendi.
Saldırı zincirleri, CACTUS fidye yazılımının yayılmasıyla doruğa ulaşıyor ve saldırganlar aynı zamanda veri sızdırma için rclone kullanıyor.
Sürekli Gelişen Fidye Yazılımı Ortamı
Açıklama, fidye yazılımı tehdit ortamının daha karmaşık hale gelmesi ve yeraltı ekonomisinin, kurban sistemlere erişimi çeşitli bağlı aktörlere yeniden satan ilk erişim aracıları ve botnet sahiplerinden oluşan bir ağ aracılığıyla saldırıları geniş ölçekte kolaylaştıracak şekilde gelişmesiyle birlikte geldi.
Endüstriyel siber güvenlik firması Dragos’un derlediği verilere göre, endüstriyel kuruluşları etkileyen fidye yazılımı saldırılarının sayısı 2023’ün ikinci çeyreğinde 253’ten üçüncü çeyrekte 231’e düştü. Buna karşılık, yalnızca Ekim 2023 ayı için tüm sektörlerde 318 fidye yazılımı saldırısı bildirildi.
Dünyanın dört bir yanındaki hükümetlerin fidye yazılımıyla mücadeleye yönelik süregelen çabalarına rağmen, hizmet olarak fidye yazılımı (RaaS) iş modeli, hedeflerden zorla para koparmak için kalıcı ve kazançlı bir yol olmaya devam etti.
Elliptic ve tarafından yayınlanan yeni ortak araştırmaya göre, Nisan 2022’de ortaya çıkan üretken bir fidye yazılımı grubu olan Black Basta’nın, 90’dan fazla kurbandan Bitcoin fidye ödemelerinden en az 107 milyon dolar tutarında yasa dışı kar elde ettiği tahmin ediliyor. Corvus Sigorta.
Bu gelirlerin büyük bir kısmı, Hydra darknet pazarıyla işlemleri kolaylaştırmak için Nisan 2022’de ABD hükümeti tarafından onaylanan bir Rus kripto para borsası olan Garantex aracılığıyla aklandı.
Dahası, analiz, Black Basta’yı, eskisinin ortaya çıktığı sıralarda faaliyetlerini durduran, artık feshedilmiş olan Rus siber suç grubu Conti’ye ve fidye yazılımının dağıtımı için kullanılan QakBot’a bağlayan kanıtları ortaya çıkardı.
Elliptic, “Fidye miktarının yaklaşık yüzde 10’u, kurbana erişim sağlamaya dahil oldukları durumlarda Qakbot’a iletildi” dedi ve “birkaç milyon dolar değerindeki Bitcoin’in Conti bağlantılı cüzdanlardan saldırıyla ilişkili cüzdanlara kadar takip edildiğini” belirtti. Kara Basta operatörü.”