Intuisi Blog – Ancaman ransomware CACTUS sedang diamati yang mengeksploitasi lubang keamanan yang baru-baru ini diungkapkan dalam analisis cloud dan sistem intelijen bernama Qlik Sense untuk mendapatkan akses ke lingkungan tertentu.
“Kampanye ini adalah contoh pertama bahwa pelaku ancaman yang menyebarkan ransomware CACTUS mengeksploitasi kerentanan dalam Qlik Sense untuk akses awal,” kata peneliti Arctic Wolf Stefan Hostetler, Markus Neis, dan Kyle Pagelow.
Perusahaan yang menyediakan keamanan siber, yang menyatakan bahwa mereka merespons “beberapa insiden” yang melibatkan perangkat lunak, mengatakan serangan ini mungkin memanfaatkan tiga kelemahan yang ditemukan dalam tiga bulan terakhir.
-
- CVE-2023-41265 (skor CVSS: 9.9) – Kerentanan Tunneling Permintaan HTTP memungkinkan penyerang jarak jauh mendapatkan akses ke akun mereka dan kemudian mengirim permintaan yang dipenuhi oleh server yang menghosting perangkat lunak repositori.
- CVE-2023-41266 (skor CVSS: 6.5) – Kerentanan penjelajahan jalur yang memungkinkan penyerang tanpa autentikasi meneruskan permintaan HTTP ke titik akhir yang tidak diautentikasi.
- CVE-2023-48365 (skor CVSS: 9.9) – Kerentanan eksekusi kode jarak jauh yang tidak diautentikasi disebabkan oleh verifikasi header HTTP yang tidak memadai. Hal ini memungkinkan penyerang mendapatkan keamanan dari jarak jauh melalui penggunaan terowongan untuk mengirim permintaan HTTP.
Perlu disebutkan bahwa CVE-2023-41265, serta CVE-20 dihasilkan dari patch yang tidak memadai untuk CVE-2023-41265, serta CVE-2023-41266, yang diungkapkan melalui Praetorian pada akhir Agustus 2023. Perbaikan CVE-2023-48365 dirilis pada 20 November 2023.
Serangan yang disebutkan dari Arctic Wolf, serangan yang berhasil terhadap kelemahannya kemudian diikuti dengan penyalahgunaan layanan QlikSense Scheduler untuk membuat proses yang dibuat untuk mengunduh alat lain dengan harapan dapat membentuk perilaku persisten dan membentuk kendali jarak jauh.
Ini terdiri dari ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk, dan Plink. Pelaku ancaman ini telah menghapus instalasi perangkat lunak Sophos, mengubah kata sandi akun administrator, dan membuat terowongan RDP menggunakan Plink.
Serangan tersebut memuncak dengan penyebaran ransomware CACTUS. Para penyerang memanfaatkan rclone untuk membantu eksfiltrasi data.
Ransomware Yang Selalu Berkembang
Pengungkapan ini terjadi pada saat lanskap ancaman ransomware telah berkembang semakin canggih serta pasar bawah tanah telah berkembang untuk memungkinkan serangan dalam skala yang lebih besar yang terdiri dari broker akses pertama serta administrator botnet yang menawarkan akses ke sistem korban. kepada berbagai aktor yang berafiliasi.
Berdasarkan data yang dikumpulkan oleh perusahaan keamanan siber industri Dragos, jumlah serangan terkait ransomware yang memengaruhi perusahaan industri menurun dari 253 pada kuartal ke-2 tahun 2023 dan 231 pada kuartal ketiga tahun 2023. Di sisi lain, tercatat 318 insiden ransomware sepanjang tahun. semua sektor selama bulan oktober tahun 2023 di bulan oktober saja.
Meskipun ada upaya berkelanjutan dari pemerintah di seluruh dunia untuk mengatasi ransomware, model bisnis ransomware-as-a-service (RaaS) terus menjadi jalur yang bertahan lama dan menguntungkan untuk memeras uang dari sasaran.
Black Basta, sebuah organisasi ransomware yang sangat populer yang muncul pada bulan April 2022. Diperkirakan telah memperoleh keuntungan ilegal setidaknya $107 juta uang tebusan Bitcoin untuk lebih dari 90 korban, menurut studi bersama baru yang dirilis dari Elliptic dan Asuransi Corvus.
Mayoritas hasil dikirim ke Garantex yang merupakan pertukaran mata uang kripto Rusia yang disahkan oleh pemerintah AS pada April 2022 untuk memfasilitasi transaksi melalui pasar darknet Hydra.
Analisis tersebut juga menemukan bukti yang menghubungkan Black Basta dengan organisasi kejahatan dunia maya Rusia yang sekarang sudah tidak ada lagi, Conti, yang ditutup ketika kelompok pertama muncul bersama dengan QakBot, yang digunakan untuk menyebarkan ransomware.
“Sekitar 10 persen uang tebusan ditransfer ke Qakbot ketika mereka memberikan akses kepada korban,” kata Elliptic dan menambahkan bahwa mereka “melacak Bitcoin senilai beberapa juta dolar dari dompet yang terhubung dengan Conti ke dompet yang terkait dengan Black Basta. Operator Black Basta .”
