Les chercheurs en cybersécurité d'Arctic Wolf viennent de découvrir une campagne de ransomware CACTUS à grande échelle exploitant des vulnérabilités récemment révélées dans Qlik Sense.. Cette dernière est une plateforme d'analyse cloud et de business intelligence.
Cette attaque est un autre exemple où les acteurs malveillants ont utilisé les failles de Qlik Sense pour l'accès initial., introduire une nouvelle couche de sophistication dans les tactiques des ransomwares.
Exploiter les vulnérabilités de Qlik Sense
La campagne, répondant à “plusieurs cas” d'exploitation, est censé cibler trois vulnérabilités révélées au cours des trois derniers mois:
- CVE-2023-41265 (Note CVSS: 9.9): Une faille de HTTP Request Tunneling permettant à des attaquants distants d'élever des privilèges et d'exécuter des requêtes sur le serveur backend.
- CVE-2023-41266 (Note CVSS: 6.5): Une vulnérabilité de traversée de chemin permettant à des attaquants distants non authentifiés d'envoyer des requêtes HTTP à des points de terminaison non autorisés.
- CVE-2023-48365 (Note CVSS: 9.9): Une faille d'exécution de code à distance non authentifiée résultant d'une mauvaise validation des en-têtes HTTP.
Notamment, CVE-2023-48365 provient d'un correctif incomplet pour CVE-2023-41265. Les attaques consistent à exploiter ces vulnérabilités, abuser du service Qlik Sense Scheduler, puis en déployant une gamme d'outils supplémentaires pour établir la persistance et obtenir le contrôle à distance.
Outils d'exploitation
Les acteurs malveillants exploitent le service Qlik Sense Scheduler pour télécharger des outils tels que ManageEngine Unified Endpoint Management and Security. (UEMS), AnyDesk, et Plink. Terriblement, les actions observées incluent la désinstallation du logiciel Sophos, changer les mots de passe du compte administrateur, et création de tunnels RDP via Plink. Les chaînes d’attaques néfastes culminent avec le déploiement du ransomware CACTUS, accompagné d'une exfiltration de données à l'aide de rclone.
Malgré les efforts gouvernementaux pour lutter contre les ransomwares, le ransomware-as-a-service (RAAS) le modèle économique reste résilient. Le rapport met en lumière le groupe de ransomwares Black Basta, estimation des profits illégaux dépassant $107 millions de paiements de rançon Bitcoin. Curieusement, Les recherches d'Elliptic révèlent des liens entre Basta noir et le désormais disparu Groupe Conti, ainsi que QakBot, impliquant un réseau complexe d’affiliations cybercriminelles.
À mesure que nous nous rapprochons de la conclusion de 2023, il devient évident que cette année a établi des références sans précédent en matière d'attaques de ransomwares. Les six premiers mois ont connu à eux seuls une période remarquable 49% recrudescence des attaques rendues publiques, juxtaposée à la période correspondante dans 2022. En d'autres termes, attaques de ransomwares dans 2023 continuer à prévaloir.