Detección de Ransomware Cactus: Los Atacantes Lanzan Ataques Dirigidos para Propagar Cepas de Ransomware
Tabla de contenidos:
¡Atención! Los recientes ataques de ransomware Cactus están ganando protagonismo. Los hackers explotan vulnerabilidades crÃticas de Qlik Sense para seguir entregando ransomware Cactus. En otras campañas de ransomware, utilizan cebos de publicidad maliciosa para propagar el malware DanaBot para el acceso inicial a sistemas comprometidos.
Detección de Infecciones de Ransomware Cactus
Los operadores de ransomware están constantemente buscando nuevas formas de proceder con el despliegue de cargas útiles, aumentar el número de vÃctimas y recibir mayores beneficios financieros. Para adelantarse a los adversarios, los profesionales de la ciberseguridad requieren una fuente confiable de contenido de detección para identificar posibles intrusiones en las primeras etapas de desarrollo y defenderse proactivamente.
Para ayudar a los defensores cibernéticos en la detección de ataques de ransomware Cactus, la Plataforma SOC Prime para defensa cibernética colectiva agrega un conjunto de contenido de detección curado.
Esta regla, de nuestro atento desarrollador de Threat Bounty Nattatorn Chuensangarun detecta actividad sospechosa de la campaña de ransomware Cactus usando el comando msiexec para desinstalar Sophos a través de GUID. La detección es compatible con 24 soluciones SIEM, EDR, XDR y Data Lake y está mapeada al marco MITRE ATT&CK abordando las tácticas de Evasión Defensiva y Ejecución de Proxy de Binario del Sistema (T1218) como la técnica principal.
Generador de Tareas de Qlik lanzando Proceso Sospechoso (vÃa process_creation)
Esta regla de detección del Equipo SOC Prime identifica la generación de un proceso sospechoso por el programador Qlik, lo que puede indicar la explotación exitosa de una vulnerabilidad. La regla está acompañada de una traducción a 24 formatos nativos de SIEM, EDR, XDR y Data Lake y está mapeada al MITRE ATT&CK abordando tácticas de Acceso Inicial, con la técnica Exploit de Aplicación de Cara Pública (T1190) como técnica principal.
Para profundizar en el conjunto de reglas destinadas a la detección de ataques de ransomware Cactus, pulsa Explorar Detecciones a continuación. Todos los algoritmos están enriquecidos con extensos metadatos, incluidas referencias ATT&CK, enlaces CTI, cronogramas de ataques, recomendaciones de triaje y otros detalles relevantes para una investigación de amenazas optimizada.
Además, los profesionales de seguridad pueden explorar un conjunto de reglas de detección orientadas a la detección de DanaBot para potenciar las actividades de caza de amenazas relacionadas con la operación en curso de ransomware Cactus que utiliza publicidad maliciosa para desplegar DanaBot y lograr un acceso inicial al sistema de interés.
Análisis de Ransomware Cactus: Últimos Ataques Usando Fallas de Qlik Sense y DanaBot como Puntos de Entrada
El Equipo de Arctic Wolf Labs ha detectado recientemente una nueva campaña de ransomware Cactus que apunta a instalaciones accesibles al público de la plataforma Qlik Sense. Los operadores de ransomware explotan tres Qlik vulnerabilidades crÃticas de Sense que utilizan como un vector de acceso inicial para propagar la infección más allá. Dos errores de seguridad en Qlik Sense Enterprise para Windows, identificados como CVE-2023-41266 y CVE-2023-41265, pueden encadenarse para realizar un ataque dirigido. La cadena de explotación exitosa permite a los actores maliciosos comprometer el servidor que aloja el software Qlik Sense, incluida la posibilidad de RCE no autorizada. Para remediar la amenaza, la Comunidad Qlik ha emitido un aviso de seguridad con los detalles de la vulnerabilidad y recomendaciones de mitigación.
Después del lanzamiento del parche para las fallas de seguridad mencionadas anteriormente, Qlik declaró que la corrección para CVE-2023-41265 no fue suficiente, lo que llevó a la divulgación de otra vulnerabilidad crÃtica identificada como CVE-2023-48365. La falla ocurre debido a la validación inadecuada de los encabezados HTTP, lo que permite a los atacantes remotos escalar sus privilegios mediante el túnel de solicitudes HTTP y ejecutarlas más allá en el servidor backend que alberga la aplicación del repositorio. La Comunidad Qlik ha publicado un aviso de seguridad separado cubriendo el problema. Se recomienda encarecidamente a los clientes de Qlik Sense actualizar inmediatamente los dispositivos potencialmente comprometidos a una versión de software parcheada.
En estos ataques de ransomware Cactus, los hackers utilizan las vulnerabilidades mencionadas para ejecutar código, lo que desencadena la iniciación de nuevos procesos por el servicio Scheduler de Qlik Sense. Los atacantes aplican PowerShell y el Servicio de Transferencia Inteligente en Segundo Plano (BITS) para descargar un conjunto de herramientas especÃfico para obtener persistencia y acceso remoto. Los adversarios también recurren a desinstalar el software Sophos, alterar las credenciales de la cuenta de administrador y establecer un túnel RDP a través de Plink.
Inmediatamente después de los ataques que abusaban de las fallas de Qlik Sense, Microsoft ha detectado infecciones de DanaBot que llevan a la actividad de manos sobre teclado por parte de operadores de ransomware conocidos como Storm-0216 también conocido como UNC2198, seguido por el despliegue de ransomware Cactus. En esta operación ofensiva en curso, el malware DanaBot se distribuye a través de cebos de publicidad maliciosa.
DanaBot, también rastreado como Storm-1044, es similar a Emotet, TrickBot, QakBot, y IcedID capaz de actuar tanto como ladrón de información como un posible punto de entrada para cepas maliciosas subsecuentes.
La actual campaña de DanaBot, que ha estado en el centro de atención desde noviembre de 2023, parece emplear una versión personalizada del malware de robo de información en lugar de aprovechar el modelo de malware como servicio. Las credenciales robadas se envÃan a un servidor remoto, lo que lleva a un movimiento lateral mediante intentos de inicio de sesión RDP y proporcionando más acceso a los operadores de ransomware.
El actual aumento de ataques de ransomware Cactus impulsa la necesidad de mejorar las capacidades de defensa cibernética mientras se empodera a las empresas para mejorar su postura de ciberseguridad y prevenir brechas de red. Al obtener acceso al Marketplace de Detección de Amenazas, las organizaciones progresivas pueden explorar los últimos algoritmos de detección para ataques de ransomware de cualquier escala y sofisticación, asà como explorar los TTPs relevantes para una atribución de ataques más rápida.
