Erkennung von Cactus Ransomware: Angreifer starten gezielte Angriffe zur Verbreitung von Ransomware-Varianten
Inhaltsverzeichnis:
Achtung! Kürzliche Cactus-Ransomware-Angriffe geraten in den Fokus. Hacker nutzen kritische Schwachstellen in Qlik Sense aus, um weiter Cactus-Ransomware zu verteilen. In anderen Ransomware-Kampagnen nutzen sie Malvertising-Köder, um DanaBot-Malware für den ersten Zugang zu kompromittierten Systemen zu verbreiten.
Erkennung von Cactus-Ransomware-Infektionen
Ransomware-Betreiber suchen ständig nach neuen Wegen, um die Bereitstellung von Nutzlasten voranzutreiben, die Anzahl der Opfer zu erhöhen und größere finanzielle Vorteile zu erzielen. Um den Gegnern voraus zu sein, benötigen Cybersicherheitsfachleute eine zuverlässige Quelle für Erkennungsinhalte, um mögliche Eindringungen frühzeitig zu identifizieren und proaktiv zu verteidigen.
Um Cyberverteidiger bei der Erkennung von Cactus-Ransomware-Angriffen zu unterstützen, aggregiert die SOC Prime Platform für kollektive Cyberabwehr eine Vielzahl kuratierter Erkennungsinhalte.
Diese Regel unseres aufmerksamen Threat Bounty-Entwicklers Nattatorn Chuensangarun erkennt verdächtige Aktivitäten der Cactus-Ransomware-Kampagne durch die Nutzung des msiexec-Kommandos zur Deinstallation von Sophos über GUID. Die Erkennung ist mit 24 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel und ist an das MITRE ATT&CK-Framework angelehnt, um die Taktiken zur Umgehung der Verteidigung und die Ausführung über System-Binary-Proxy (T1218) als Haupttechnik zu adressieren.
Qlink Scheduler erzeugt verdächtigen Prozess (via process_creation)
Diese Erkennungsregel des SOC Prime Teams identifiziert verdächtiges Prozess-Scheduling durch Qlink, was auf eine erfolgreiche Ausnutzung von Schwachstellen hinweisen kann. Die Regel ist mit Übersetzungen in 24 native SIEM-, EDR-, XDR- und Data-Lake-Formate versehen und an das MITRE ATT&CK angelehnt, um Initial Access Taktiken mit der Ausnutzung öffentlicher Anwendungen (T1190) als Haupttechnik anzusprechen.
Um tiefer in den Regelstack einzutauchen, der auf die Erkennung von Cactus-Ransomware-Angriffen abzielt, klicken Sie Erkennungen erkunden unten. Alle Algorithmen sind mit umfangreichen Metadaten angereichert, einschließlich ATT&CK-Referenzen, CTI-Links, Angriffschroniken, Dringlichkeitsempfehlungen und weiteren relevanten Details für eine optimierte Bedrohungsermittlung.
Zusätzlich könnten Sicherheitsexperten eine Reihe von Erkennungsregeln zur Erkennung von DanaBot erkunden um die Bedrohungsjagdaktivitäten im Zusammenhang mit der laufenden Cactus-Ransomware-Operation zu erhöhen, die Malvertising nutzt, um DanaBot abzusetzen und den ersten Zugang zum interessengebundenen System zu erreichen.
Cactus-Ransomware-Analyse: Neueste Angriffe nutzen Qlik Sense-Schwachstellen & DanaBot als Einstiegspunkte
Das Arctic Wolf Labs Team hat kürzlich eine neue Cactus-Ransomware-Kampagne entdeckt, die auf öffentlich zugängliche Installationen der Qlik Sense Plattform abzielt. Ransomware-Betreiber nutzen drei kritische Qlik Sense-Schwachstellen, die sie als Eintrittsvektor nutzen, um die Infektion weiter zu verbreiten. Zwei Sicherheitslücken in Qlik Sense Enterprise für Windows, die als CVE-2023-41266 und CVE-2023-41265 verfolgt werden, können verknüpft werden, um einen gezielten Angriff durchzuführen. Die erfolgreiche Ausnutzungskette ermöglicht es böswilligen Akteuren, den Server zu kompromittieren, auf dem die Qlik Sense-Software gehostet wird, einschließlich der Möglichkeit einer nicht autorisierten RCE. Um die Bedrohung zu beheben, hat die Qlik Community eine Sicherheitsberatung mit den Details zur Schwachstelle und den Abhilfemaßnahmen herausgegeben.
Nach der Veröffentlichung des Patches für die oben genannten Sicherheitsmängel erklärte Qlik, dass der Fix für CVE-2023-41265 nicht ausreiche, was zur Offenlegung einer weiteren kritischen Schwachstelle führte, die als CVE-2023-48365identifiziert wurde. Die Schwachstelle tritt aufgrund unzureichender Validierung von HTTP-Headern auf und ermöglicht es entfernten Angreifern, ihre Privilegien zu eskalieren, indem sie HTTP-Anfragen tunneln und diese auf dem Backend-Server ausführen, der die Repository-Anwendung hostet. Die Qlik Community hat eine separate Sicherheitsberatung veröffentlicht die das Problem abdeckt. Qlik Sense-Kunden wird dringend empfohlen, potenziell kompromittierte Geräte sofort auf eine gepatchte Softwareversion zu aktualisieren.
In diesen Cactus-Ransomware-Angriffen nutzen Hacker die oben genannten Sicherheitslücken aus, um Code auszuführen, was zur Einleitung neuer Prozesse durch den Qlik Sense Scheduler Dienst führt. Angreifer wenden PowerShell und den Background Intelligent Transfer Service (BITS) an, um ein spezifisches Toolkit zur Erlangung von Persistenz und Fernzugriff herunterzuladen. Die Gegner greifen auch zur Deinstallation von Sophos-Software, Änderung der Administrator-Kontoanmeldedaten und zur Einrichtung eines RDP-Tunnels über Plink.
Dicht auf den Fersen der Angriffe, die die Schwachstellen von Qlik Sense ausnutzen, hat Microsoft DanaBot-Infektionen festgestellt, die zu Hands-on-Keyboard-Aktivitäten durch Ransomware-Betreiber, bekannt als Storm-0216 bzw. UNC2198, führten, gefolgt von der Bereitstellung von Cactus-Ransomware. In dieser andauernden offensiven Operation wird DanaBot-Malware über Malvertising-Köder verteilt.
DanaBot, auch bekannt als Storm-1044, ist ähnlich wie Emotet, TrickBot, QakBotund IcedID fähig, sowohl als Infostealer als auch als potenzieller Eintrittspunkt für nachfolgende bösartige Belastungen zu agieren.
Die laufende DanaBot-Kampagne, die seit November 2023 im Rampenlicht steht, scheint eine angepasste Version der Informationsdiebstahl-Malware zu verwenden, anstatt das Malware-as-a-Service-Modell zu nutzen. Die gestohlenen Anmeldedaten werden an einen entfernten Server gesendet, was seitliche Bewegungen durch RDP-Anmeldeversuche ermöglicht und weiteren Zugang für Ransomware-Betreiber bietet.
Der aktuelle Anstieg der Cactus-Ransomware-Angriffe unterstreicht die Notwendigkeit, die Cyberverteidigungsfähigkeiten zu verbessern und Unternehmen zu befähigen, ihre Cybersicherheitslage zu stärken und Netzwerkeinbrüche zu verhindern. Durch den Zugriff auf den Threat Detection Marketplacekönnen fortschrittliche Organisationen die neuesten Erkennungsalgorithmen für Ransomware-Angriffe jeder Dimension und Komplexität erforschen und relevante TTPs für eine schnellere Angriffszuordnung erkunden.
