Detecção do Ransomware Cactus: Agressores Lançam Ataques Direcionados para Espalhar Variedades de Ransomware
Índice:
Atenção! Os ataques recentes do ransomware Cactus estão ganhando destaque. Hackers exploram vulnerabilidades críticas do Qlik Sense para disseminar ainda mais o ransomware Cactus. Em outras campanhas de ransomware, eles aproveitam iscas de malvertising para espalhar malware DanaBot para acesso inicial a sistemas comprometidos.
Detectando Infecções do Ransomware Cactus
Os operadores de ransomware estão constantemente buscando novas maneiras de proceder com a implementação de cargas, aumentar o número de vítimas e receber maiores benefícios financeiros. Para estar à frente dos adversários, os profissionais de cibersegurança precisam de uma fonte confiável de conteúdo de detecção para identificar possíveis intrusões nas fases iniciais de desenvolvimento e defender proativamente.
Para ajudar os defensores cibernéticos na detecção de ataques do ransomware Cactus, a SOC Prime Platform para defesa cibernética coletiva agrega um conjunto de conteúdo de detecção curado.
Esta regra por nosso desenvolvedor atento do Threat Bounty Nattatorn Chuensangarun detecta atividades suspeitas da campanha de Ransomware Cactus usando o comando msiexec para desinstalar o Sophos através do GUID. A detecção é compatível com 24 soluções SIEM, EDR, XDR e Data Lake e mapeada para o framework MITRE ATT&CK abordando táticas de Evasão de Defesa e Execução de Proxy de Binário do Sistema (T1218) como a principal técnica.
Qlink Scheduler Gerando Processo Suspeito (via criação de processo)
Esta regra de detecção pela Equipe SOC Prime identifica a geração de processos suspeitos pelo agendador Qlink, o que pode indicar a exploração bem-sucedida de vulnerabilidades. A regra é acompanhada por tradução em 24 formatos nativos SIEM, EDR, XDR e Data Lake e mapeada para o MITRE ATT&CK abordando táticas de Acesso Inicial, com Explorar Aplicativo Exposto Públicamente (T1190) como a técnica principal.
Para aprofundar mais na pilha de regras destinadas à detecção de ataques do ransomware Cactus, acesse Explore Detectações abaixo. Todos os algoritmos são enriquecidos com metadados extensivos, incluindo referências ATT&CK, links de CTI, cronogramas de ataques, recomendações de triagem e outros detalhes relevantes para uma investigação de ameaças simplificada.
Além disso, os profissionais de segurança podem explorar um conjunto de regras de detecção voltadas para a detecção do DanaBot para impulsionar as atividades de caça a ameaças relacionadas à operação do ransomware Cactus em andamento que usa malvertising para introduzir DanaBot e obter acesso inicial ao sistema de interesse.
Análise do Ransomware Cactus: Últimos Ataques Usando Falhas do Qlik Sense e DanaBot como Pontos de Entrada
A Equipe Arctic Wolf Labs detectou recentemente uma nova campanha de ransomware Cactus alvejando instalações publicamente acessíveis da plataforma Qlik Sense. Operadores de ransomware exploram três vulnerabilidades críticas do Qlik Sense que utilizam como um vetor de acesso inicial para espalhar ainda mais a infecção. Dois bugs de segurança no Qlik Sense Enterprise para Windows, rastreados como CVE-2023-41266 e CVE-2023-41265, podem ser encadeados para realizar um ataque direcionado. A cadeia de exploração bem-sucedida permite que atores maliciosos comprometam o servidor que hospeda o software Qlik Sense, incluindo a possibilidade de RCE não autorizada. Para remediar a ameaça, a Comunidade Qlik emitiu um aviso de segurança com os detalhes da vulnerabilidade e recomendações de mitigação.
Após o lançamento do patch para as falhas de segurança acima mencionadas, a Qlik afirmou que a correção para o CVE-2023-41265 não foi suficiente, levando à divulgação de outra vulnerabilidade crítica identificada como CVE-2023-48365. A falha ocorre devido à validação inadequada de cabeçalhos HTTP, permitindo que atacantes remotos escalem seus privilégios por meio de tunelamento de solicitações HTTP e executem-nas no servidor de backend que hospeda o aplicativo do repositório. A Comunidade Qlik publicou um aviso de segurança separado cobrindo o problema. Recomenda-se fortemente que os clientes do Qlik Sense atualizem imediatamente dispositivos potencialmente comprometidos para uma versão de software corrigida.
Nesses ataques do ransomware Cactus, os hackers usam como arma as falhas de segurança acima mencionadas para executar códigos, desencadeando a iniciação de novos processos pelo serviço Qlik Sense Scheduler. Os atacantes aplicam PowerShell e o Serviço de Transferência Inteligente em Segundo Plano (BITS) para baixar um kit de ferramentas específico para obter persistência e acesso remoto. Os adversários também recorrem à desinstalação do software Sophos, alteram as credenciais da conta administrativa e estabelecem um túnel RDP através do Plink.
Logo após os ataques que exploram as falhas do Qlik Sense, a Microsoft detectou infecções do DanaBot levando a atividades manuais por operadores de ransomware conhecidos como Storm-0216 também conhecido como UNC2198, seguidas pela implantação do ransomware Cactus. Nesta operação ofensiva em andamento, malware DanaBot é distribuído através de iscas de malvertising.
DanaBot, também rastreado como Storm-1044, é semelhante ao Emotet, TrickBot, QakBot, e IcedID capaz de atuar tanto como infostealer quanto como um potencial ponto de entrada para cepas maliciosas subsequentes.
A campanha em andamento do DanaBot, que está em destaque desde novembro de 2023, parece empregar uma versão personalizada do malware ladrão de informações, em vez de utilizar o modelo malware-como-serviço. As credenciais roubadas são enviadas para um servidor remoto, levando a movimentos laterais através de tentativas de login RDP e fornecendo ainda mais acesso aos operadores de ransomware.
O aumento atual nos ataques de ransomware Cactus destaca a necessidade de aprimorar as capacidades de defesa cibernética, enquanto capacita as empresas a melhorar sua postura de segurança cibernética e prevenir violações de rede. Ao acessar o Threat Detection Marketplace, organizações progressivas podem explorar os mais recentes algoritmos de detecção para ataques de ransomware de qualquer escala e sofisticação, bem como explorar TTPs relevantes para uma atribuição de ataque mais rápida.
