Détection du Ransomware Cactus : Les Attaquants Lancent des Attaques Ciblées pour Propager des Variantes de Ransomware
Table des matières :
Attention ! Les récentes attaques de ransomware Cactus attirent l’attention. Les hackers exploitent des vulnérabilités critiques de Qlik Sense pour livrer davantage le ransomware Cactus. Dans d’autres campagnes de ransomware, ils utilisent des appâts de malvertising pour propager le malware DanaBot pour accéder initialement aux systèmes compromis.
Détection des infections par le ransomware Cactus
Les opérateurs de ransomware cherchent constamment de nouvelles façons de procéder au déploiement de la charge utile, d’augmenter le nombre de victimes et de recevoir des bénéfices financiers plus importants. Pour devancer les adversaires, les professionnels de la cybersécurité ont besoin d’une source fiable de contenu de détection pour identifier les éventuelles intrusions aux premiers stades de développement et se défendre de manière proactive.
Pour aider les défenseurs cybernétiques à détecter les attaques de ransomware Cactus, la plateforme SOC Prime pour la défense cybernétique collective agrège un ensemble de contenus de détection sélectionnés.
Cette règle de notre développeur de Threath Bounty perspicace Nattatorn Chuensangarun détecte une activité suspecte de campagne de ransomware Cactus en utilisant la commande msiexec pour désinstaller Sophos via GUID. La détection est compatible avec 24 solutions SIEM, EDR, XDR et Data Lake et est mappée au cadre MITRE ATT&CK traitant des tactiques d’évasion défensive et de l’exécution de proxy de binaire système (T1218) comme technique principale.
Déclenchement de processus suspect par Qlink Scheduler (via process_creation)
Cette règle de détection par l’équipe SOC Prime identifie un processus suspect de planificateur Qlink qui pourrait indiquer une exploitation réussie de vulnérabilité. La règle est accompagnée d’une traduction en 24 formats SIEM, EDR, XDR et Data Lake natifs et est mappée au MITRE ATT&CK traitant des tactiques d’accès initial, avec Exploit Public-Facing Application (T1190) comme technique principale.
Pour explorer plus en détail la pile de règles visant à détecter les attaques de ransomware Cactus, cliquez sur Explorez les détections ci-dessous. Tous les algorithmes sont enrichis de métadonnées étendues, y compris des références ATT&CK, des liens de CTI, des chronologies d’attaque, des recommandations de triage et d’autres détails pertinents pour une investigation des menaces rationalisée.
De plus, les professionnels de la sécurité pourraient explorer un ensemble de règles de détection visant la détection de DanaBot pour renforcer les activités de chasse aux menaces liées à l’opération de ransomware Cactus en cours exploitant le malvertising pour déposer DanaBot et obtenir un accès initial au système d’intérêt.
Analyse du ransomware Cactus : Dernières attaques utilisant les failles de Qlik Sense et DanaBot comme points d’entrée
Arctic Wolf Labs Team has recently detected une nouvelle campagne de ransomware Cactus ciblant les installations accessibles au public de la plateforme Qlik Sense. Les opérateurs de ransomware exploitent trois vulnérabilités critiques de Qlik Sense qu’ils utilisent comme vecteur d’accès initial pour propager l’infection plus loin. Deux bugs de sécurité dans Qlik Sense Enterprise pour Windows identifiés comme CVE-2023-41266 et CVE-2023-41265 peuvent être enchaînés pour mener une attaque ciblée. La chaîne d’exploitation réussie permet aux acteurs malveillants de compromettre le serveur hébergeant le logiciel Qlik Sense, y compris la possibilité de RCE non autorisé. Pour remédier à la menace, Qlik Community a émis un avis de sécurité avec les détails de la vulnérabilité et les recommandations d’atténuation.
Après la publication de la mise à jour pour les failles de sécurité mentionnées ci-dessus, Qlik a déclaré que la mise à jour pour CVE-2023-41265 n’était pas suffisante, ce qui a conduit à la divulgation d’une autre vulnérabilité critique identifiée comme CVE-2023-48365. La faille se produit en raison d’une validation inadéquate des en-têtes HTTP permettant aux attaquants à distance d’escalader leurs privilèges en tunnelant des requêtes HTTP et en les exécutant ensuite sur le serveur backend hébergeant l’application de référentiel. Qlik Community a publié un avis de sécurité distinct couvrant le problème. Les clients de Qlik Sense sont fortement recommandés d’effectuer une mise à jour immédiate des dispositifs potentiellement compromis vers une version logicielle corrigée.
Dans ces attaques de ransomware Cactus, les hackers utilisent les failles de sécurité référencées ci-dessus pour exécuter du code, déclenchant l’initiation de nouveaux processus par le service de planification Qlik Sense. Les attaquants appliquent PowerShell et le Background Intelligent Transfer Service (BITS) pour télécharger un kit d’outils spécifique pour obtenir la persistance et l’accès à distance. Les adversaires recourent également à la désinstallation du logiciel Sophos, l’altération des informations d’identification du compte administrateur et l’établissement d’un tunnel RDP via Plink.
À la suite des attaques abusant des failles de Qlik Sense, Microsoft a détecté des infections par DanaBot menant à des activités sur clavier par des opérateurs de ransomwares connus sous le nom de Storm-0216 alias UNC2198, suivies du déploiement du ransomware Cactus. Dans cette opération offensive en cours, le malware DanaBot est distribué via des appâts de malvertising.
DanaBot, également suivi sous le nom de Storm-1044, est similaire à Emotet, TrickBot, QakBot, et IcedID capable d’agir à la fois comme voleur d’informations et comme point d’entrée potentiel pour des souches malveillantes ultérieures.
La campagne DanaBot en cours, qui est au centre de l’attention depuis novembre 2023, semble employer une version personnalisée du malware voleur d’informations plutôt que d’exploiter le modèle de malware en tant que service. Les informations d’identification volées sont envoyées à un serveur distant, entraînant un mouvement latéral via des tentatives de connexion RDP et fournissant un accès supplémentaire aux opérateurs de ransomwares.
L’augmentation actuelle des attaques de ransomware Cactus alimente le besoin d’améliorer les capacités de défense cybernétique tout en permettant aux entreprises de renforcer leur posture de cybersécurité et de prévenir les violations de réseau. En accédant au Threat Detection Marketplace, les organisations progressives peuvent explorer les derniers algorithmes de détection pour des attaques de ransomware de toute échelle et sophistication, ainsi qu’explorer des TTP pertinents pour une attribution d’attaque plus rapide.
