Rilevamento del Ransomware Cactus: Gli Attaccanti Lanciano Attacchi Mirati per Diffondere Varianti di Ransomware
Indice:
Attenzione! I recenti attacchi ransomware Cactus stanno guadagnando attenzione. Gli hacker sfruttano vulnerabilità critiche di Qlik Sense per diffondere ulteriormente il ransomware Cactus. In altre campagne ransomware, sfruttano esche di malvertising per diffondere malware DanaBot per l’accesso iniziale ai sistemi compromessi.
Rilevare infezioni da ransomware Cactus
Gli operatori di ransomware cercano costantemente nuovi modi per procedere con il deployment del payload, aumentare il numero di vittime e ottenere maggiori benefici finanziari. Per rimanere avanti rispetto agli avversari, i professionisti della cybersecurity necessitano di una fonte affidabile di contenuti di rilevamento per identificare possibili intrusioni nelle fasi iniziali dello sviluppo e difendersi in modo proattivo.
Per assistere i difensori informatici nel rilevamento di attacchi ransomware Cactus, la piattaforma SOC Prime per la difesa informatica collettiva aggrega una serie di contenuti di rilevamento curati.
Questa regola del nostro abile sviluppatore Threat Bounty Nattatorn Chuensangarun rileva attività sospetta della campagna ransomware Cactus utilizzando il comando msiexec per disinstallare Sophos tramite GUID. Il rilevamento è compatibile con 24 soluzioni SIEM, EDR, XDR e Data Lake e mappato su framework MITRE ATT&CK affrontando tattiche di evasione difensiva e System Binary Proxy Execution (T1218) come tecnica principale.
Qlink Scheduler che genera processi sospetti (via process_creation)
Questa regola di rilevamento del team SOC Prime identifica la generazione di processi sospetti dello scheduler Qlink, che potrebbe indicare un’esploitazione di vulnerabilità riuscita. La regola è accompagnata da una traduzione in 24 formati nativi SIEM, EDR, XDR e Data Lake e mappata su MITRE ATT&CK affrontando tattiche di accesso iniziale, con Exploit Public-Facing Application (T1190) come tecnica principale.
Per approfondire la pila di regole mirata al rilevamento di attacchi ransomware Cactus, clicca su Esplora rilevamenti qui sotto. Tutti gli algoritmi sono arricchiti con metadati estesi, comprese le referenze ATT&CK, i link CTI, le cronologie degli attacchi, le raccomandazioni per il triage e altri dettagli rilevanti per un’indagine delle minacce semplificata.
Inoltre, i professionisti della sicurezza potrebbero esplorare un insieme di regole di rilevamento mirate al rilevamento di DanaBot per potenziare le attività di caccia alle minacce relative alla continua operazione ransomware Cactus che sfrutta il malvertising per distribuire DanaBot e ottenere l’accesso iniziale al sistema d’interesse.
Analisi del ransomware Cactus: ultimi attacchi utilizzando le falle di Qlik Sense e DanaBot come punti di ingresso
Il team Arctic Wolf Labs ha recentemente rilevato una nuova campagna ransomware Cactus mirata alle installazioni pubblicamente accessibili della piattaforma Qlik Sense. Gli operatori di ransomware sfruttano tre vulnerabilità critiche di Qlik Sense che usano come vettore di accesso iniziale per diffondere ulteriormente l’infezione. Due falle di sicurezza in Qlik Sense Enterprise per Windows tracciate come CVE-2023-41266 e CVE-2023-41265 possono essere concatenate per effettuare un attacco mirato. La catena di exploit riuscita consente agli attori malevoli di compromettere il server che ospita il software Qlik Sense, inclusa la possibilità di eseguire RCE non autorizzate. Per porre rimedio alla minaccia, Qlik Community ha emesso un avviso di sicurezza con i dettagli della vulnerabilità e le raccomandazioni per la mitigazione.
Dopo il rilascio della patch per le falle di sicurezza sopra menzionate, Qlik ha dichiarato che la correzione per CVE-2023-41265 non era sufficiente portando alla divulgazione di un’altra vulnerabilità critica identificata come CVE-2023-48365. La falla si verifica a causa dell’inadeguata validazione degli header HTTP consentendo agli attaccanti remoti di ampliare i loro privilegi attraverso il tunneling di richieste HTTP e di eseguirle ulteriormente sul server backend che ospita l’applicazione del repository. Qlik Community ha pubblicato un avviso di sicurezza separato che copre il problema. Si raccomanda fortemente ai clienti Qlik Sense di aggiornare immediatamente i dispositivi potenzialmente compromessi a una versione software corretta.
In questi attacchi ransomware Cactus, gli hacker armano le vulnerabilità di sicurezza sopra menzionate per eseguire codice, innescando l’inizio di nuovi processi da parte del servizio Qlik Sense Scheduler. Gli attaccanti applicano PowerShell e il Background Intelligent Transfer Service (BITS) per scaricare uno specifico toolkit per ottenere persistenza e accesso remoto. Gli avversari ricorrono anche alla disinstallazione del software Sophos, modificando le credenziali dell’account amministratore e stabilendo un tunnel RDP tramite Plink.
A seguito degli attacchi che sfruttano le falle di Qlik Sense, Microsoft ha rilevato infezioni DanaBot che portano ad attività hands-on-keyboard da parte degli operatori di ransomware noti come Storm-0216 alias UNC2198, seguite dal deployment del ransomware Cactus. In questa operazione offensiva in corso, malware DanaBot viene distribuito tramite esche di malvertising.
DanaBot, anche tracciato come Storm-1044, è simile a Emotet, TrickBot, QakBot, e IcedID capace di agire sia come infostealer sia come potenziale punto di ingresso per ulteriori ceppi malevoli.
La campagna DanaBot in corso, che è stata sotto i riflettori da novembre 2023, sembra impiegare una versione personalizzata del malware di furto informazioni piuttosto che sfruttare il modello malware-as-a-service. Le credenziali rubate vengono inviate a un server remoto, portando a movimenti laterali tramite tentativi di accesso RDP e fornendo ulteriormente accesso agli operatori del ransomware.
L’attuale impennata degli attacchi ransomware Cactus alimenta la necessità di migliorare le capacità di difesa informatica mentre potenzia le aziende a rafforzare la loro postura in materia di sicurezza informatica e prevenire violazioni di rete. Accedendo al Mercato della Rilevazione delle Minacce, le organizzazioni progressiste possono esplorare i più recenti algoritmi di rilevamento per attacchi ransomware di qualsiasi scala e sofisticazione, oltre a esplorare TTP rilevanti per un’attribuzione degli attacchi più veloce.
