Los investigadores de ciberseguridad de Arctic Wolf acaban de descubrir una campaña de ransomware CACTUS a gran escala que explota vulnerabilidades reveladas recientemente en Qlik Sense.. Esta última es una plataforma de inteligencia empresarial y análisis en la nube..
Este ataque es otro ejemplo en el que los actores de amenazas han utilizado fallas de Qlik Sense para el acceso inicial., introduciendo una nueva capa de sofisticación a las tácticas de ransomware.
Explotación de las vulnerabilidades de Qlik Sense
La campaña, respondiendo a “varios casos” de explotación, Se cree que apunta a tres vulnerabilidades reveladas en los últimos tres meses.:
- CVE-2023-41265 (Puntuación CVSS: 9.9): Una falla en el túnel de solicitudes HTTP que permite a atacantes remotos elevar privilegios y ejecutar solicitudes en el servidor backend.
- CVE-2023-41266 (Puntuación CVSS: 6.5): Una vulnerabilidad de recorrido de ruta que permite a atacantes remotos no autenticados enviar solicitudes HTTP a puntos finales no autorizados..
- CVE-2023-48365 (Puntuación CVSS: 9.9): Un fallo de ejecución remota de código no autenticado que surge de una validación inadecuada de los encabezados HTTP.
Notablemente, CVE-2023-48365 proviene de un parche incompleto para CVE-2023-41265. Los ataques implican explotar estas vulnerabilidades., abusar del servicio Qlik Sense Scheduler, y posteriormente implementar una gama de herramientas adicionales para establecer persistencia y obtener control remoto.
Herramientas de explotación
Los actores de amenazas aprovechan el servicio Qlik Sense Scheduler para descargar herramientas como ManageEngine Unified Endpoint Management and Security. (UEMS), AnyDesk, y plink. Espantosamente, Las acciones observadas incluyen la desinstalación del software de Sophos., cambiar las contraseñas de la cuenta de administrador, y crear túneles RDP a través de Plink. Las nefastas cadenas de ataques culminan con el despliegue del ransomware CACTUS, acompañado de exfiltración de datos usando rclone.
A pesar de los esfuerzos gubernamentales para combatir el ransomware, el ransomware como servicio (RAAS) el modelo de negocio sigue siendo resistente. El informe arroja luz sobre el grupo de ransomware Black Basta, estimando ganancias ilegales que exceden $107 millones en pagos de rescate de Bitcoin. intrigantemente, La investigación de Elliptic descubre vínculos entre basta negra y el ya desaparecido grupo conti, así como QakBot, que implica una compleja red de afiliaciones cibercriminales.
A medida que nos acercamos a la conclusión de 2023, Se hace evidente que este año se han establecido puntos de referencia sin precedentes en ataques de ransomware.. Sólo en los primeros seis meses se experimentó un notable 49% Aumento de los ataques divulgados públicamente., yuxtapuesto con el período correspondiente en 2022. En otras palabras, ataques de ransomware en 2023 seguir prevaleciendo.