Pesquisadores de segurança cibernética da Arctic Wolf acabam de descobrir uma campanha de ransomware CACTUS em grande escala que explora vulnerabilidades recentemente divulgadas no Qlik Sense. Este último é uma plataforma de análise em nuvem e business intelligence.
Este ataque é outro caso em que os agentes de ameaças utilizaram falhas do Qlik Sense para acesso inicial, introduzindo uma nova camada de sofisticação às táticas de ransomware.
Explorando vulnerabilidades do Qlik Sense
A campanha, respondendo a “vários casos” de exploração, acredita-se que tenha como alvo três vulnerabilidades divulgadas nos últimos três meses:
- CVE-2023-41265 (pontuação CVSS: 9.9): Uma falha no túnel de solicitação HTTP que permite que invasores remotos elevem privilégios e executem solicitações no servidor back-end.
- CVE-2023-41266 (pontuação CVSS: 6.5): Uma vulnerabilidade de passagem de caminho que permite que invasores remotos não autenticados enviem solicitações HTTP para terminais não autorizados.
- CVE-2023-48365 (pontuação CVSS: 9.9): Uma falha de execução remota de código não autenticada decorrente da validação inadequada de cabeçalhos HTTP.
Notavelmente, CVE-2023-48365 deriva de um patch incompleto para CVE-2023-41265. Os ataques envolvem a exploração dessas vulnerabilidades, abusando do serviço Qlik Sense Scheduler, e subsequentemente implantar uma série de ferramentas adicionais para estabelecer persistência e obter controle remoto.
Ferramentas de exploração
Os atores da ameaça aproveitam o serviço Qlik Sense Scheduler para baixar ferramentas como o ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk, e Plink. Chocantemente, as ações observadas incluem a desinstalação do software Sophos, alterando senhas de contas de administrador, e criação de túneis RDP via Plink. As nefastas cadeias de ataques culminam na implantação do ransomware CACTUS, acompanhado de exfiltração de dados usando rclone.
Apesar dos esforços governamentais para combater o ransomware, o ransomware como serviço (Raas) modelo de negócios permanece resiliente. O relatório lança luz sobre o grupo de ransomware Black Basta, estimando lucros ilegais superiores $107 milhões em pagamentos de resgate em Bitcoin. Curiosamente, A pesquisa da Elliptic revela ligações entre Basta Preta e o agora extinto Grupo Conti, bem como QakBot, implicando uma rede complexa de afiliações cibercriminosas.
À medida que nos aproximamos da conclusão 2023, torna-se evidente que este ano estabeleceu benchmarks sem precedentes em ataques de ransomware. Só os primeiros seis meses experimentaram um notável 49% aumento de ataques divulgados publicamente, justaposto ao período correspondente em 2022. Em outras palavras, ataques de ransomware em 2023 continuar a prevalecer.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: