I ricercatori di sicurezza informatica dell'Arctic Wolf hanno appena scoperto una campagna ransomware CACTUS su larga scala che sfrutta le vulnerabilità recentemente rivelate in Qlik Sense. Quest'ultima è una piattaforma di analisi cloud e business intelligence.
Questo attacco è un altro caso in cui gli autori delle minacce hanno utilizzato le falle di Qlik Sense per l'accesso iniziale, introducendo un nuovo livello di sofisticazione nelle tattiche ransomware.
Sfruttare le vulnerabilità di Qlik Sense
La campagna, rispondendo alle “diversi casi” di sfruttamento, si ritiene che miri a tre vulnerabilità rivelate negli ultimi tre mesi:
- CVE-2023-41265 (Punteggio CVSS: 9.9): Un difetto nel tunneling delle richieste HTTP che consente agli aggressori remoti di elevare i privilegi ed eseguire richieste sul server backend.
- CVE-2023-41266 (Punteggio CVSS: 6.5): Una vulnerabilità di attraversamento del percorso che consente agli aggressori remoti non autenticati di inviare richieste HTTP a endpoint non autorizzati.
- CVE-2023-48365 (Punteggio CVSS: 9.9): Un difetto di esecuzione di codice remoto non autenticato derivante da una convalida impropria delle intestazioni HTTP.
In particolare, CVE-2023-48365 deriva da una patch incompleta per CVE-2023-41265. Gli attacchi implicano lo sfruttamento di queste vulnerabilità, abusare del servizio Qlik Sense Scheduler, e successivamente implementare una serie di strumenti aggiuntivi per stabilire la persistenza e ottenere il controllo remoto.
Strumenti di sfruttamento
Gli autori delle minacce sfruttano il servizio Qlik Sense Scheduler per scaricare strumenti come ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk, e Plink. Incredibilmente, le azioni osservate includono la disinstallazione del software Sophos, modifica delle password dell'account amministratore, e creazione di tunnel RDP tramite Plink. Le nefande catene di attacco culminano con l'implementazione del ransomware CACTUS, accompagnato dall'esfiltrazione dei dati utilizzando rclone.
Nonostante gli sforzi del governo per combattere il ransomware, il ransomware come servizio (RAAS) il modello di business rimane resiliente. Il rapporto fa luce sul gruppo ransomware Black Basta, stimare profitti illeciti eccedenti $107 milioni in pagamenti di riscatto in Bitcoin. Intrigantemente, La ricerca di Elliptic scopre i legami tra Nero Basta e l'ormai defunto Gruppo Conti, così come QakBot, implicando una complessa rete di affiliazioni criminali informatici.
Mentre ci avviciniamo alla conclusione di 2023, diventa evidente che quest’anno ha stabilito parametri di riferimento senza precedenti negli attacchi ransomware. Solo i primi sei mesi hanno vissuto un periodo straordinario 49% aumento degli attacchi resi pubblici, giustapposto al periodo corrispondente in 2022. In altre parole, attacchi ransomware in 2023 continuano a prevalere.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: