Ransomware CACTUS

Les chercheurs en cybersécurité mettent en garde contre une campagne CACTUS Ransomware capitalisant sur des vulnérabilités de sécurité récemment révélées au sein de Qlik Sense, une plateforme d'analyse et de business intelligence dans le cloud. Cette campagne représente un développement remarquable car elle constitue le premier cas documenté dans lequel des acteurs malveillants utilisant le ransomware CACTUS ont exploité les vulnérabilités de Qlik Sense comme méthode principale pour obtenir un accès initial aux environnements ciblés. Cela met en évidence l’évolution des tactiques employées par les acteurs de la menace pour exploiter les faiblesses des plates-formes logicielles populaires en vue d’accès non autorisés et de compromission potentielle des données.

Le ransomware CACTUS est diffusé via plusieurs vulnérabilités logicielles

Les analystes en cybersécurité ont identifié une série d'attaques qui semblent exploiter trois vulnérabilités révélées sur plusieurs mois :

• CVE-2023-41265 (score CVSS : 9,9) - Cette vulnérabilité implique le tunneling de requêtes HTTP, permettant à un attaquant distant d'élever ses privilèges et d'envoyer des requêtes exécutées par le serveur backend hébergeant l'application de référentiel.
• CVE-2023-41266 (score CVSS : 6,5) - Une vulnérabilité de traversée de chemin qui permet à un attaquant distant non authentifié de transmettre des requêtes HTTP à des points de terminaison non autorisés.
• CVE-2023-48365 (score CVSS : 9,9) - Une vulnérabilité d'exécution de code à distance non authentifiée résultant d'une validation incorrecte des en-têtes HTTP, permettant à un attaquant distant d'élever ses privilèges via le tunneling des requêtes HTTP.

Il est important de noter que CVE-2023-48365 est une conséquence d'un correctif incomplet pour CVE-2023-41265. Les deux vulnérabilités, ainsi que CVE-2023-41266, ont été divulguées fin août 2023, et un correctif pour CVE-2023-48365 a été mis en œuvre le 20 septembre 2023.

Dans les attaques CACTUS Ransomware observées, les vulnérabilités identifiées sont exploitées, conduisant à une mauvaise utilisation du service Qlik Sense Scheduler. Cela permet aux attaquants de générer des processus conçus pour télécharger des outils supplémentaires dans le but d'établir la persistance et de configurer le contrôle à distance.

Les outils supplémentaires impliqués dans ces attaques incluent ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk et Plink. Notamment, les acteurs malveillants ont été observés en train de désinstaller le logiciel Sophos, de modifier le mot de passe du compte administrateur et de créer un tunnel RDP via Plink. Les chaînes d'attaque aboutissent finalement au déploiement du ransomware CACTUS, les attaquants utilisant également des clones pour l'exfiltration de données. Cette stratégie d'attaque complète souligne la nature sophistiquée et en plusieurs étapes de la campagne CACTUS Ransomware.

Les acteurs de la menace de ransomware font évoluer leurs techniques

L’émergence de CACTUS Ransomware reflète la sophistication croissante du paysage des menaces de ransomware. L’économie souterraine a évolué pour soutenir des attaques à grande échelle via un réseau de courtiers d’accès initial et de propriétaires de réseaux de zombies. Ces entités revendent l'accès aux systèmes des victimes à plusieurs acteurs affiliés, contribuant ainsi à l'expansion des menaces de ransomware.

Malgré les efforts déployés par les gouvernements à l’échelle mondiale pour lutter contre les ransomwares, le modèle économique Ransomware-as-a-Service (RaaS) reste une méthode résiliente et rentable pour extorquer de l’argent aux cibles. La longévité et la rentabilité de ce modèle persistent, permettant aux acteurs de la menace de s'adapter et de poursuivre leurs activités illicites.

Un groupe de ransomware notable, Black Basta , est entré en scène en avril 2022 et aurait accumulé des bénéfices illicites dépassant 107 millions de dollars en paiements de rançon Bitcoin auprès de plus de 90 victimes. Des recherches conjointes récentes ont révélé qu'une partie importante de ces fonds avait été blanchie via Garantex, une bourse russe de crypto-monnaie sanctionnée par le gouvernement américain en avril 2022 pour avoir facilité les transactions avec le marché Hydra Dark Net.

En outre, l'analyse a révélé des liens entre Black Basta et le groupe de cybercriminalité russe Conti, aujourd'hui disparu, qui a cessé ses activités à peu près au même moment que l'émergence de Black Basta. De plus, des liens avec QakBot , un outil utilisé pour déployer le ransomware, ont été identifiés. Ce réseau complexe d’associations souligne la nature complexe et interconnectée des opérations modernes des ransomwares.