Casa > Ciber Noticias > CACTUS Ransomware Exploiting Qlik Sense Flaws
CYBER NOTICIAS

CACTUS Ransomware explota los defectos de Qlik Sense

Los investigadores de ciberseguridad de Arctic Wolf acaban de descubrir una campaña de ransomware CACTUS a gran escala que explota vulnerabilidades reveladas recientemente en Qlik Sense.. Esta última es una plataforma de inteligencia empresarial y análisis en la nube..

Este ataque es otro ejemplo en el que los actores de amenazas han utilizado fallas de Qlik Sense para el acceso inicial., introduciendo una nueva capa de sofisticación a las tácticas de ransomware.
CVE-2023-41265- CACTUS Ransomware explota los defectos de Qlik Sense


Explotación de las vulnerabilidades de Qlik Sense

La campaña, respondiendo a “varios casos” de explotación, Se cree que apunta a tres vulnerabilidades reveladas en los últimos tres meses.:

  • CVE-2023-41265 (Puntuación CVSS: 9.9): Una falla en el túnel de solicitudes HTTP que permite a atacantes remotos elevar privilegios y ejecutar solicitudes en el servidor backend.
  • CVE-2023-41266 (Puntuación CVSS: 6.5): Una vulnerabilidad de recorrido de ruta que permite a atacantes remotos no autenticados enviar solicitudes HTTP a puntos finales no autorizados..
  • CVE-2023-48365 (Puntuación CVSS: 9.9): Un fallo de ejecución remota de código no autenticado que surge de una validación inadecuada de los encabezados HTTP.

Notablemente, CVE-2023-48365 proviene de un parche incompleto para CVE-2023-41265. Los ataques implican explotar estas vulnerabilidades., abusar del servicio Qlik Sense Scheduler, y posteriormente implementar una gama de herramientas adicionales para establecer persistencia y obtener control remoto.




Herramientas de explotación

Los actores de amenazas aprovechan el servicio Qlik Sense Scheduler para descargar herramientas como ManageEngine Unified Endpoint Management and Security. (UEMS), AnyDesk, y plink. Espantosamente, Las acciones observadas incluyen la desinstalación del software de Sophos., cambiar las contraseñas de la cuenta de administrador, y crear túneles RDP a través de Plink. Las nefastas cadenas de ataques culminan con el despliegue del ransomware CACTUS, acompañado de exfiltración de datos usando rclone.

A pesar de los esfuerzos gubernamentales para combatir el ransomware, el ransomware como servicio (RAAS) el modelo de negocio sigue siendo resistente. El informe arroja luz sobre el grupo de ransomware Black Basta, estimando ganancias ilegales que exceden $107 millones en pagos de rescate de Bitcoin. intrigantemente, La investigación de Elliptic descubre vínculos entre basta negra y el ya desaparecido grupo conti, así como QakBot, que implica una compleja red de afiliaciones cibercriminales.


A medida que nos acercamos a la conclusión de 2023, Se hace evidente que este año se han establecido puntos de referencia sin precedentes en ataques de ransomware.. Sólo en los primeros seis meses se experimentó un notable 49% Aumento de los ataques divulgados públicamente., yuxtapuesto con el período correspondiente en 2022. En otras palabras, ataques de ransomware en 2023 seguir prevaleciendo.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo