Uma campanha de ransomware CACTUS foi observada explorando falhas de segurança recentemente divulgadas em uma plataforma de análise de nuvem e inteligência de negócios chamada Qlik Sense para ganhar acesso aos ambientes-alvo.
"Esta campanha marca a primeira instância documentada [...] em que atores de ameaças que implantam ransomware CACTUS exploraram vulnerabilidades no Qlik Sense para acessar inicialmente", disseram os pesquisadores da Arctic Wolf, Stefan Hostetler, Markus Neis e Kyle Pagelow.
A empresa de cibersegurança, que disse estar respondendo a "várias instâncias" de exploração do software, salientou que os ataques provavelmente estão aproveitando três falhas que foram divulgadas nos últimos três meses -
CVE-2023-41265
(pontuação CVSS: 9.9) - Uma vulnerabilidade de tunelamento de solicitação HTTP que permite a um invasor remoto elevar seu privilégio e enviar solicitações que são executadas pelo servidor de back-end que hospeda o aplicativo de repositório.
CVE-2023-41266
(pontuação CVSS: 6.5) - Uma vulnerabilidade de percurso de caminho que permite a um invasor remoto não autenticado transmitir solicitações HTTP para pontos finais não autorizados.
CVE-2023-48365
(pontuação CVSS: 9.9) - Uma vulnerabilidade de execução de código remoto não autenticado decorrente de uma validação inadequada dos cabeçalhos HTTP, permitindo a um invasor remoto elevar seu privilégio ao fazer tunelamento de solicitações HTTP.
Vale salientar que o
CVE-2023-48365
é o resultado de um patch incompleto para o
CVE-2023-41265
, que junto com o
CVE-2023-41266
, foi divulgado pelo Praetorian no final de agosto de 2023.
Uma correção para o
CVE-2023-48365
foi lançada em 20 de novembro de 2023.
Nos ataques observados pela Arctic Wolf, uma exploração bem-sucedida das falhas é seguida pelo abuso do serviço Qlik Sense Scheduler para gerar processos que são projetados para baixar ferramentas adicionais com o objetivo de estabelecer persistência e configurar controle remoto.
Isso inclui ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk, e Plink.
Os atores de ameaças também foram observados desinstalando o software Sophos, mudando a senha da conta do administrador e criando um túnel RDP via Plink.
As cadeias de ataque culminam no implantação do ransomware CACTUS, com os atacantes também usando rclone para extração de dados.
A Sempre Evoluindo Paisagem de Ransomware
A revelação ocorre enquanto a paisagem de ameaças de ransomware se tornou mais sofisticada, e a economia clandestina evoluiu para facilitar ataques em larga escala por meio de uma rede de corretores de acesso inicial e proprietários de botnets que revendem acesso aos sistemas das vítimas para vários atores afiliados.
De acordo com dados compilados pela empresa de cibersegurança industrial Dragos, o número de ataques de ransomware impactando organizações industriais diminuiu de 253 no segundo trimestre de 2023 para 231 no terceiro trimestre.
Em contraste, 318 ataques ransomware foram relatados em todos os setores apenas no mês de outubro de 2023.
Apesar dos esforços contínuos dos governos ao redor do mundo para combater o ransomware, o modelo de negócios ransomware-as-a-service (RaaS) continuou a ser um caminho duradouro e lucrativo para extorquir dinheiro dos alvos.
Black Basta, um prolífico grupo de ransomware que surgiu em abril de 2022, é estimado ter acumulado lucros ilegais na ordem de pelo menos $107 milhões em pagamentos de resgate em Bitcoin de mais de 90 vítimas, de acordo com uma nova pesquisa conjunta divulgada pela Elliptic e Corvus Insurance.
A maioria desses rendimentos foi lavada através do Garantex, uma corretora russa de criptomoedas que foi sancionada pelo governo dos EUA em abril de 2022 por facilitar transações com o mercado da deep web, o Hydra.
Além disso, a análise descobriu evidências ligando o Black Basta ao agora extinto grupo de cibercrime russo Conti, que foi desativado mais ou menos na mesma época em que o ex-emergiu, bem como ao QakBot, que foi usado para instalar o ransomware.
"Cerca de 10% do valor do resgate foi encaminhado ao QakBot, em casos onde eles estavam envolvidos em fornecer acesso à vítima", notou a Elliptic, acrescentando que "rastreou Bitcoin valendo vários milhões de dólares de carteiras ligadas ao Conti para aquelas associadas ao operador do Black Basta".
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...