CACTUS-Ransomware

Cybersicherheitsforscher warnen vor einer CACTUS-Ransomware-Kampagne, die neu entdeckte Sicherheitslücken in Qlik Sense, einer Cloud-Analyse- und Business-Intelligence-Plattform, ausnutzt. Diese Kampagne stellt eine bemerkenswerte Entwicklung dar, da es sich um den ersten dokumentierten Fall handelt, bei dem böswillige Akteure, die die CACTUS-Ransomware nutzen, Schwachstellen in Qlik Sense als primäre Methode ausnutzten, um ersten Zugriff auf Zielumgebungen zu erhalten. Dies unterstreicht die sich weiterentwickelnden Taktiken von Bedrohungsakteuren, um Schwachstellen in beliebten Softwareplattformen für unbefugten Zugriff und potenzielle Datenkompromittierung auszunutzen.

Die CACTUS-Ransomware wird über mehrere Software-Schwachstellen verbreitet

Cybersicherheitsanalysten haben über mehrere Monate hinweg eine Reihe von Angriffen identifiziert, bei denen offenbar drei offengelegte Schwachstellen ausgenutzt werden:

• CVE-2023-41265 (CVSS-Score: 9,9) – Bei dieser Schwachstelle handelt es sich um HTTP Request Tunneling, das es einem Remote-Angreifer ermöglicht, seine Berechtigungen zu erhöhen und Anfragen zu senden, die vom Backend-Server ausgeführt werden, der die Repository-Anwendung hostet.
• CVE-2023-41266 (CVSS-Score: 6,5) – Eine Path-Traversal-Schwachstelle, die es einem nicht authentifizierten Remote-Angreifer ermöglicht, HTTP-Anfragen an nicht autorisierte Endpunkte zu übertragen.
• CVE-2023-48365 (CVSS-Score: 9,9) – Eine Sicherheitslücke bei nicht authentifizierter Remote-Codeausführung, die aus einer unsachgemäßen Validierung von HTTP-Headern resultiert und es einem Remote-Angreifer ermöglicht, seine Berechtigungen durch Tunneln von HTTP-Anfragen zu erhöhen.

Es ist wichtig zu beachten, dass CVE-2023-48365 eine Folge eines unvollständigen Patches für CVE-2023-41265 ist. Beide Schwachstellen wurden zusammen mit CVE-2023-41266 Ende August 2023 offengelegt und am 20. September 2023 wurde ein Fix für CVE-2023-48365 implementiert.

Bei den beobachteten CACTUS-Ransomware-Angriffen werden die identifizierten Schwachstellen ausgenutzt, was zum Missbrauch des Qlik Sense Scheduler-Dienstes führt. Dies ermöglicht es den Angreifern, Prozesse zu starten, die darauf ausgelegt sind, zusätzliche Tools herunterzuladen, um eine Persistenz herzustellen und eine Fernsteuerung einzurichten.

Zu den zusätzlichen Tools, die an diesen Angriffen beteiligt sind, gehören ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk und Plink. Insbesondere wurde beobachtet, dass die Bedrohungsakteure Sophos-Software deinstallierten, das Passwort des Administratorkontos änderten und einen RDP-Tunnel über Plink erstellten. Die Angriffsketten führen letztendlich zum Einsatz der CACTUS-Ransomware, wobei die Angreifer auch Klone zur Datenexfiltration nutzen. Diese umfassende Angriffsstrategie unterstreicht den ausgefeilten und mehrstufigen Charakter der CACTUS-Ransomware-Kampagne.

Ransomware-Bedrohungsakteure entwickeln ihre Techniken weiter

Das Aufkommen der CACTUS-Ransomware spiegelt die zunehmende Komplexität der Ransomware-Bedrohungslandschaft wider. Die Untergrundwirtschaft hat sich entwickelt, um groß angelegte Angriffe über ein Netzwerk von Erstzugangsvermittlern und Botnet-Besitzern zu unterstützen. Diese Unternehmen verkaufen den Zugriff auf die Systeme der Opfer an mehrere Partnerakteure weiter und tragen so zur Ausbreitung von Ransomware-Bedrohungen bei.

Trotz der weltweiten Bemühungen der Regierungen, Ransomware zu bekämpfen, bleibt das Ransomware-as-a-Service (RaaS)-Geschäftsmodell eine robuste und profitable Methode, um Geld von Zielen zu erpressen. Die Langlebigkeit und Rentabilität dieses Modells bleibt bestehen und ermöglicht es Bedrohungsakteuren, sich anzupassen und ihre illegalen Aktivitäten fortzusetzen.

Eine bekannte Ransomware-Gruppe, Black Basta , betrat im April 2022 die Szene und hat Schätzungen zufolge illegale Gewinne in Höhe von über 107 Millionen US-Dollar durch Bitcoin-Lösegeldzahlungen von über 90 Opfern angehäuft. Jüngste gemeinsame Untersuchungen haben ergeben, dass ein erheblicher Teil dieser Gelder über Garantex gewaschen wurde, eine russische Kryptowährungsbörse, die im April 2022 von der US-Regierung sanktioniert wurde, weil sie Transaktionen mit dem Hydra Dark Net-Marktplatz ermöglichte.

Darüber hinaus hat die Analyse Verbindungen zwischen Black Basta und der inzwischen aufgelösten russischen Cyberkriminalitätsgruppe Conti aufgedeckt, die etwa zur gleichen Zeit wie das Auftauchen von Black Basta ihre Aktivitäten einstellte. Darüber hinaus wurden Verbindungen zu QakBot identifiziert, einem Tool zur Verbreitung der Ransomware. Dieses komplizierte Netz von Assoziationen unterstreicht die komplexe und vernetzte Natur moderner Ransomware-Operationen.