Μια νέα καμπάνια διανομής του ransomware CACTUS εκμεταλλεύεται ευπάθειες ασφαλείας που αποκαλύφθηκαν πρόσφατα σε μια πλατφόρμα cloud analytics και business intelligence, που ονομάζεται Qlik Sense.
“Αυτή η καμπάνια σηματοδοτεί την πρώτη τεκμηριωμένη περίπτωση […] όπου οι φορείς απειλών που αναπτύσσουν το ransomware CACTUS έχουν εκμεταλλευτεί ευπάθειες στο Qlik Sense για αρχική πρόσβαση“, δήλωσαν οι ερευνητές της Arctic Wolf, Stefan Hostetler, Markus Neis και Kyle Pagelow.
Η εταιρεία κυβερνοασφάλειας λέει ότι οι επιθέσεις πιθανότατα εκμεταλλεύονται τρεις ευπάθειες που έχουν αποκαλυφθεί τους τελευταίους τρεις μήνες:
CVE-2023-41265 (βαθμολογία CVSS: 9,9): Μια ευπάθεια HTTP Request Tunneling που επιτρέπει σε έναν απομακρυσμένο εισβολέα να αυξήσει τα προνόμιά του στη συσκευή-στόχο και να στείλει αιτήματα που εκτελούνται από τον backend server που φιλοξενεί το repository application.
CVE-2023-41266 (βαθμολογία CVSS: 6,5): Πρόκειται για μια ευπάθεια που επιτρέπει σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να μεταδίδει αιτήματα HTTP σε μη εξουσιοδοτημένα τελικά σημεία.
CVE-2023-48365 (Βαθμολογία CVSS: 9,9): Άλλη μια κρίσιμη ευπάθεια που επιτρέπει τη μη εξουσιοδοτημένη εκτέλεση κώδικα απομακρυσμένα.
Δείτε επίσης: Black Basta ransomware: Η συμμορία έχει κερδίσει πάνω από $ 100 εκατ. μέσω εκβιασμών
Αξίζει να σημειωθεί ότι η τελευταία ευπάθεια είναι το αποτέλεσμα μιας ελλιπούς ενημέρωσης για την πρώτη ευπάθεια CVE-2023-41265, η οποία μαζί με την CVE-2023-41266, αποκαλύφθηκε από την Praetorian στα τέλη Αυγούστου 2023. Μια επιδιόρθωση για το CVE-2023-48365 κυκλοφόρησε στις 20 Νοεμβρίου 2023.
Στις νέες επιθέσεις του ransomware CACTUS που παρατηρήθηκαν από τον Arctic Wolf, η επιτυχής εκμετάλλευση των ευπαθειών ακολουθείται από την κατάχρηση της υπηρεσίας Scheduler του Qlik Sense. Στόχος είναι η δημιουργία διεργασιών που επιτρέπουν τη λήψη πρόσθετων εργαλείων για τη δημιουργία persistence και τη ρύθμιση του απομακρυσμένου ελέγχου.
Αυτό περιλαμβάνει το ManageEngine Unified Endpoint Management and Security (UEMS), το AnyDesk και το Plink. Οι επιτιθέμενοι μερικές φορές μπορεί να κάνουν και απεγκατάσταση του λογισμικού Sophos, να αλλάζουν το password του λογαριασμού διαχειριστή και να δημιουργούν RDP tunnel μέσω Plink.
Δείτε επίσης: Qilin ransomware: Αναλαμβάνει την ευθύνη για επίθεση στην Yanfeng
Οι αλυσίδες επιθέσεων κορυφώνονται με την ανάπτυξη του ransomware CACTUS, ενώ οι hackers κλέβουν και δεδομένα.
Τα παραπάνω δείχνουν ότι οι συμμορίες ransomware εκμεταλλεύονται κάθε δυνατό μέσο για να μολύνουν συσκευές και δίκτυα. Ωστόσο, υπάρχουν κάποια μέτρα που μπορούν να λάβουν οι επιχειρήσεις, οι οργανισμοί και οι χρήστες για να προστατευτούν.
Ένα από τα βασικά βήματα πρόληψης των επιθέσεων ransomware είναι η ενημέρωση και η εκπαίδευση των χρηστών. Οι χρήστες πρέπει να είναι ενήμεροι για τις τελευταίες απειλές και τις βασικές αρχές ασφάλειας στον ψηφιακό χώρο. Αυτό περιλαμβάνει την αποφυγή κλικ σε ύποπτα συνημμένα αρχεία ή συνδέσμους, τη χρήση ισχυρών κωδικών πρόσβασης και την αποφυγή της κοινής χρήσης ευαίσθητων δεδομένων.
Ένα άλλο σημαντικό βήμα είναι η εγκατάσταση ενημερωμένου και αξιόπιστου λογισμικού ασφαλείας. Τα antivirus λογισμικά και τα firewall μπορούν να ανιχνεύσουν και να μπλοκάρουν το κακόβουλο λογισμικό πριν προλάβει να προκαλέσει ζημιά. Επίσης, πρέπει να διατηρείτε ενημερωμένο το λειτουργικό σύστημα και τις εφαρμογές σας, καθώς οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας για γνωστά προβλήματα.
Δείτε επίσης: Οι αρχές συνέλαβαν μέλη ransomware συμμορίας που είχε επιτεθεί σε 71 χώρες
Τέλος, η τακτική δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων σας είναι ζωτικής σημασίας για την προστασία από ransomware. Αν τα δεδομένα σας κρυπτογραφηθούν, θα μπορείτε να αποκαταστήσετε τα αρχικά σας αρχεία από τα αντίγραφα ασφαλείας. Αυτά τα αντίγραφα ασφαλείας πρέπει να αποθηκεύονται σε ασφαλή τοποθεσία, εκτός του κύριου συστήματος, για να αποφευχθεί η κρυπτογράφησή τους από το ransomware.
Πηγή: thehackernews.com
