Brother
Professional
- Messages
- 2,590
- Reaction score
- 480
- Points
- 83
Была замечена кампания программ-вымогателей CACTUS, использующая недавно обнаруженные недостатки безопасности в платформе облачной аналитики и бизнес-аналитики Qlik Sense для закрепления в целевых средах.
"Эта кампания знаменует собой первый задокументированный случай [...], когда злоумышленники, внедряющие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для получения начального доступа", - сказали исследователи Arctic Wolf Стефан Хостетлер, Маркус Нейс и Кайл Пейджлоу.
Компания по кибербезопасности, которая заявила, что реагирует на "несколько случаев" использования программного обеспечения, отметила, что атаки, вероятно, используют три уязвимости, которые были раскрыты за последние три месяца -
В атаках, наблюдаемых Arctic Wolf, за успешной эксплуатацией недостатков следует злоупотребление службой планировщика Qlik Sense для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью обеспечения персистентности и настройки удаленного управления.
К ним относятся ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Также было замечено, что участники угрозы удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали туннель RDP через Plink.
Кульминацией цепочки атак является развертывание программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для извлечения данных.
Согласно данным, собранным фирмой по промышленной кибербезопасности Dragos, количество атак программ-вымогателей, затрагивающих промышленные организации, сократилось с 253 во втором квартале 2023 года до 231 в третьем квартале. Для сравнения, только за октябрь 2023 года было зарегистрировано 318 атак с использованием программ-вымогателей во всех секторах.
Несмотря на продолжающиеся усилия правительств по всему миру по борьбе с программами-вымогателями, бизнес-модель ransomware as-a-service (RaaS) продолжает оставаться устойчивым и прибыльным способом вымогательства денег у целевых пользователей.
Согласно новому совместному исследованию, опубликованному Elliptic и Corvus Insurance, Black Basta, плодовитая группа вымогателей, появившаяся на сцене в апреле 2022 года, получила незаконную прибыль в размере не менее 107 миллионов долларов в виде выкупа в биткоинах от более чем 90 жертв.
Большая часть этих доходов была отмыта через Garantex, российскую криптовалютную биржу, которая была санкционирована правительством США в апреле 2022 года за содействие транзакциям с торговой площадкой Hydra darknet.
Более того, анализ выявил доказательства, связывающие Black Basta с ныне несуществующей российской киберпреступной группой Conti, деятельность которой прекратилась примерно в то же время, когда появилась первая, а также с QakBot, который использовался для развертывания программы-вымогателя.
"Примерно 10% суммы выкупа было перенаправлено Qakbot в случаях, когда они были вовлечены в предоставление доступа к жертве", - отметил Elliptic, добавив, что "отследил биткойны стоимостью в несколько миллионов долларов от кошельков, связанных с Conti, до кошельков, связанных с оператором Black Basta".
"Эта кампания знаменует собой первый задокументированный случай [...], когда злоумышленники, внедряющие программу-вымогатель CACTUS, использовали уязвимости в Qlik Sense для получения начального доступа", - сказали исследователи Arctic Wolf Стефан Хостетлер, Маркус Нейс и Кайл Пейджлоу.
Компания по кибербезопасности, которая заявила, что реагирует на "несколько случаев" использования программного обеспечения, отметила, что атаки, вероятно, используют три уязвимости, которые были раскрыты за последние три месяца -
- CVE-2023-41265 (оценка CVSS: 9,9) - Уязвимость туннелирования HTTP-запросов, которая позволяет удаленному злоумышленнику повысить свои привилегии и отправлять запросы, которые выполняются внутренним сервером, на котором размещено приложение репозитория.
- CVE-2023-41266 (оценка CVSS: 6.5) - Уязвимость для обхода пути, которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, передавать HTTP-запросы неавторизованным конечным точкам.
- CVE-2023-48365 (оценка CVSS: 9,9) - Уязвимость для удаленного выполнения кода без проверки подлинности, возникающая из-за неправильной проверки HTTP-заголовков, позволяющая удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов.
В атаках, наблюдаемых Arctic Wolf, за успешной эксплуатацией недостатков следует злоупотребление службой планировщика Qlik Sense для запуска процессов, предназначенных для загрузки дополнительных инструментов с целью обеспечения персистентности и настройки удаленного управления.
К ним относятся ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink. Также было замечено, что участники угрозы удаляли программное обеспечение Sophos, меняли пароль учетной записи администратора и создавали туннель RDP через Plink.
Кульминацией цепочки атак является развертывание программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для извлечения данных.
Постоянно развивающийся ландшафт программ-вымогателей
Раскрытие происходит по мере того, как ландшафт угроз от программ-вымогателей стал более изощренным, а подпольная экономика эволюционировала, способствуя масштабированию атак через сеть брокеров первоначального доступа и владельцев ботнетов, которые перепродают доступ к системам жертв нескольким аффилированным лицам.Согласно данным, собранным фирмой по промышленной кибербезопасности Dragos, количество атак программ-вымогателей, затрагивающих промышленные организации, сократилось с 253 во втором квартале 2023 года до 231 в третьем квартале. Для сравнения, только за октябрь 2023 года было зарегистрировано 318 атак с использованием программ-вымогателей во всех секторах.
Несмотря на продолжающиеся усилия правительств по всему миру по борьбе с программами-вымогателями, бизнес-модель ransomware as-a-service (RaaS) продолжает оставаться устойчивым и прибыльным способом вымогательства денег у целевых пользователей.
Согласно новому совместному исследованию, опубликованному Elliptic и Corvus Insurance, Black Basta, плодовитая группа вымогателей, появившаяся на сцене в апреле 2022 года, получила незаконную прибыль в размере не менее 107 миллионов долларов в виде выкупа в биткоинах от более чем 90 жертв.
Большая часть этих доходов была отмыта через Garantex, российскую криптовалютную биржу, которая была санкционирована правительством США в апреле 2022 года за содействие транзакциям с торговой площадкой Hydra darknet.
Более того, анализ выявил доказательства, связывающие Black Basta с ныне несуществующей российской киберпреступной группой Conti, деятельность которой прекратилась примерно в то же время, когда появилась первая, а также с QakBot, который использовался для развертывания программы-вымогателя.
"Примерно 10% суммы выкупа было перенаправлено Qakbot в случаях, когда они были вовлечены в предоставление доступа к жертве", - отметил Elliptic, добавив, что "отследил биткойны стоимостью в несколько миллионов долларов от кошельков, связанных с Conti, до кошельков, связанных с оператором Black Basta".
