CACTUS ransomware

Los investigadores de ciberseguridad advierten sobre una campaña de CACTUS Ransomware que aprovecha las vulnerabilidades de seguridad recientemente reveladas dentro de Qlik Sense, una plataforma de inteligencia empresarial y análisis en la nube. Esta campaña representa un desarrollo digno de mención, ya que representa el primer caso documentado en el que actores maliciosos que utilizan CACTUS Ransomware han aprovechado las vulnerabilidades de Qlik Sense como su método principal para obtener acceso inicial a entornos específicos. Esto pone de relieve las tácticas en evolución empleadas por los actores de amenazas para explotar las debilidades de las plataformas de software populares para lograr acceso no autorizado y posible compromiso de datos.

El CACTUS Ransomware se entrega a través de varias vulnerabilidades de software

Los analistas de ciberseguridad han identificado una serie de ataques que parecen explotar tres vulnerabilidades reveladas a lo largo de varios meses:

• CVE-2023-41265 (puntuación CVSS: 9,9): esta vulnerabilidad implica el túnel de solicitudes HTTP, lo que permite a un atacante remoto elevar sus privilegios y enviar solicitudes ejecutadas por el servidor backend que aloja la aplicación del repositorio.
• CVE-2023-41266 (puntuación CVSS: 6,5): una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir solicitudes HTTP a puntos finales no autorizados.
• CVE-2023-48365 (puntuación CVSS: 9,9): una vulnerabilidad de ejecución remota de código no autenticado que resulta de una validación incorrecta de los encabezados HTTP, lo que permite a un atacante remoto elevar sus privilegios mediante la tunelización de solicitudes HTTP.

Es importante tener en cuenta que CVE-2023-48365 es consecuencia de un parche incompleto para CVE-2023-41265. Ambas vulnerabilidades, junto con CVE-2023-41266, se revelaron a finales de agosto de 2023 y se implementó una solución para CVE-2023-48365 el 20 de septiembre de 2023.

En los ataques observados de CACTUS Ransomware, se explotan las vulnerabilidades identificadas, lo que lleva al uso indebido del servicio Qlik Sense Scheduler. Esto permite a los atacantes generar procesos diseñados para descargar herramientas adicionales con el objetivo de establecer persistencia y configurar el control remoto.

Las herramientas adicionales involucradas en estos ataques incluyen ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink. En particular, se ha observado a los actores de amenazas desinstalando el software de Sophos, cambiando la contraseña de la cuenta de administrador y creando un túnel RDP a través de Plink. Las cadenas de ataques finalmente resultan en la implementación de CACTUS Ransomware, y los atacantes también utilizan clones para la filtración de datos. Esta estrategia de ataque integral subraya la naturaleza sofisticada y de múltiples etapas de la campaña CACTUS Ransomware.

Los actores de amenazas de ransomware están evolucionando sus técnicas

La aparición de CACTUS Ransomware refleja la creciente sofisticación del panorama de amenazas de ransomware. La economía sumergida ha evolucionado para respaldar ataques a gran escala a través de una red de intermediarios de acceso inicial y propietarios de botnets. Estas entidades revenden el acceso a los sistemas de las víctimas a múltiples actores afiliados, lo que contribuye a la expansión de las amenazas de ransomware.

A pesar de los esfuerzos globales de los gobiernos para combatir el ransomware, el modelo de negocio Ransomware-as-a-Service (RaaS) sigue siendo un método resistente y rentable para extorsionar a los objetivos. La longevidad y rentabilidad de este modelo persisten, lo que permite a los actores de amenazas adaptarse y continuar con sus actividades ilícitas.

Un notable grupo de ransomware, Black Basta , entró en escena en abril de 2022 y se estima que acumuló ganancias ilícitas que superaron los 107 millones de dólares en pagos de rescate en Bitcoin de más de 90 víctimas. Investigaciones conjuntas recientes han revelado que una parte importante de estos fondos se lavó a través de Garantex, un intercambio de criptomonedas ruso sancionado por el gobierno de EE. UU. en abril de 2022 por facilitar transacciones con el mercado Hydra Dark Net.

Además, el análisis ha descubierto conexiones entre Black Basta y el ahora desaparecido grupo ruso de cibercrimen Conti, que cesó sus operaciones casi al mismo tiempo que surgió Black Basta. Además, se han identificado vínculos con QakBot , una herramienta utilizada para implementar el ransomware. Esta intrincada red de asociaciones subraya la naturaleza compleja e interconectada de las operaciones modernas de ransomware.