ClickCease CACTUS Qlik Ransomware: Schwachstellen ausgenutzt

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

CACTUS Qlik Ransomware: Schwachstellen ausgenutzt

Wajahat Raja

13. Dezember 2023. TuxCare-Expertenteam

Eine Cyberangriffskampagne mit der Bezeichnung CACTUS Qlik Ransomware ist bei Ransomware-Angriffen auf BI-Systeme in den Vordergrund getreten. Forscher haben vor Bedrohungsakteuren gewarnt, die drei Qlik-Sicherheitsschwachstellen um verschiedene Organisationen und Unternehmen anzugreifen. Im Folgenden erfahren Sie, wie es den Angreifern gelungen ist, diese Schwachstellen auszunutzen und welche Gegenmaßnahmen Qlik ergriffen hat.


Details der CACTUS Qlik Ransomware


Qlik Sense ist eine Cloud-basierte Datenanalyse- und Business-Intelligence (BI)-Plattform, die häufig von Regierungsorganisationen genutzt wird. CACTUS hingegen ist ein Ransomware-Stamm, der im Mai dieses Jahres entdeckt wurde.
Die Taktik der Ransomware CACTUS drehte sich damals um die Ausnutzung bekannter Schwachstellen in VPN-Anwendungen, um einen ersten Zugang zu erhalten.

Obwohl Berichte über die CACTUS-Ransomware erstmals im Mai 2023 auftauchten, wurden die Exploits bis März zurückverfolgt. Die Strategien der CACTUS-Hackergruppe konzentrierten sich in erster Linie darauf, unverschlüsselte sensible Daten vor der Verschlüsselung zu stehlen und dann eine doppelte Erpressungstaktik anzuwenden.

Die Forscher von Arctic Wolf haben kürzlich entdeckt die CACTUS-Bedrohungsakteure, die die Qlik-Sicherheitslücken ausnutzen. Es wurden drei CVEs identifiziert, die für Exploits verwendet werden. Es wird vermutet, dass die hinter CACTUS stehenden Bedrohungsakteure nach dem ersten Zugriff mehrere Taktiken anwenden, darunter:

  1. Deinstallation von Sicherheitssoftware.
  2. Ändern von administrativen Logins.
  3. Installation der Fernzugriffssoftware. 
  4. Einsatz des Remote-Desktop-Protokolls (RDP) für seitliche Bewegungen.
  5. Beschaffung von Daten und Einsatz der Ransomware. 

Laut Qlik gibt es jedoch keine Hinweise darauf, dass die Schwachstellen von Bedrohungsakteuren ausgenutzt werden. A Erklärung der Datenanalyseplattform heißt es, "Obwohl unsere ersten Meldungen keine Hinweise auf eine böswillige Ausnutzung der Schwachstellen enthielten, gehen wir diesen neuen Berichten sorgfältig nach."

 

Qlik-Sicherheitsschwachstellen, die von Bedrohungsakteuren ausgenutzt werden


In den Berichten werden
drei Sicherheitslücken die in den letzten drei Monaten bekannt wurden, ausgenutzt. Zu diesen Sicherheitslücken gehören:

  1. CVE-2023-41265 - Dies ist eine HTTP-Request-Tunneling-Schwachstelle mit einem Schweregrad von 9.9. Wenn diese Schwachstelle ausgenutzt wird, kann ein Bedrohungsakteur seine Berechtigungen erweitern. Außerdem ermöglicht sie Cyberkriminellen, vom Backend-Server ausgeführte Anfragen zu senden.
  2. CVE-2023-41266 - mit einem Schweregrad von 6,5 kann diese pfadtransversale Schwachstelle von einem entfernten Angreifer ausgenutzt werden, so dass er HTTP-Anfragen an nicht autorisierte Endpunkte senden kann
  3. CVE-2023-48365 - eine entfernte Codeausführung Schwachstelle mit einem Schweregrad von 9.9, die aufgrund einer ungenauen Validierung von HTTP-Headern auftritt und zu einer Ausweitung der Berechtigungen über HTTP-Request-Tunneling führt.

Sowohl CVE-2023-41265 als auch CVE-2023-41266 wurden im August entdecktentdeckt, und ein Patch wurde im folgenden Monat veröffentlicht. Die Unvollständigkeit des Patches führte jedoch zu CVE-2023-48365.


Die Strategien der Hackergruppe CACTUS während des Angriffs


Es wird vermutet, dass die Bedrohungsakteure nach dem ersten Angriff PowerShell und den Background Intelligent Transfer Service (BITS) verwendet haben, um den Angriff auszuführen. Sie verwendeten die unten genannten Tools, um sich im Netzwerk zu halten und das System aus der Ferne zu steuern.

  • AnyDesk-Fernlösung.
  • Ein PuTTY-Link, der umbenannt wurde in "putty.exe".
  • ManageEngine UMES zum Umbenennen von ausführbaren Dateien, die sich als Qlik-Dateien ausgegeben haben. 

Um die Qlik Sense-SicherheitsmaßnahmenAnschließend deinstallierten die Angreifer die Sophos Endpoint Security-Lösung und änderten das Administratorkennwort. Von diesem Punkt an wurde der PuTTY-Link verwendet, um ein RDP einzurichten und sich innerhalb des Netzwerks zu bewegen.

Die CACTUS-Angreifer verwendeten dann WizTree, um den Festplattenspeicher zu analysieren und rclone, umbenannt in "svchost.exe" um, um an Daten zu gelangen, und setzten später die Ransomware auf einigen betroffenen Systemen ein.


Qlik Sense Gegenmaßnahmen 


Weitere technische Details werden laut Arctic Wolf nach Abschluss der Untersuchung des Vorfalls bekannt gegeben. Die Forscher erklären derzeit, dass
"Basierend auf signifikanten Überschneidungen, die bei allen Angriffen beobachtet wurden, führen wir alle beschriebenen Angriffe auf denselben Bedrohungsakteur zurück, der für die Verbreitung der Cactus Ransomware verantwortlich war."

Qlik hingegen hat sowohl im August als auch im September Patches veröffentlicht und die Kunden aufgefordert, Qlik Sense Enterprise für Windows zu aktualisieren. Das Unternehmen kommentierte die jüngsten Sicherheitslücken mit den Worten, "Wir empfehlen allen Kunden dringend, zu überprüfen, ob sie diese Patches installiert haben. Qlik setzt sich weiterhin für den Schutz unserer Systeme ein und wird weitere Informationen bereitstellen, sobald diese verfügbar sind."

Es ist erwähnenswert, dass Qlik nach eigenen Angaben 40.000 Kunden bedient, so dass eine solche Schwachstelle für Bedrohungsakteure von größtem Wert ist. Der CACTUS Qlik Ransomware Angriff dient als deutliche Erinnerung an die Strategien der Cybersicherheit für Datenvisualisierungs und Analysesoftware, die weltweit eingesetzt werden.


Schlussfolgerung 


Forscher haben festgestellt, dass Schwachstellen in Qlik Sense-Lösungen von Bedrohungsakteuren ausgenutzt werden, um die Ransomware CACTUS zu installieren. Die Aktivitäten der Hacker, die hinter dieser Ransomware und ihren Stämmen stehen, können bis März 2023 zurückverfolgt werden.

Diese Angreifer verschaffen sich autorisierten Zugang, richten eine Fernsteuerung ein, verschaffen sich durch seitliche Bewegungen Daten und setzen Ransomware ein. Der Schweregrad und die potenziellen negativen Auswirkungen dieser Ereignisse machen folgende Maßnahmen erforderlich proaktive Cybersicherheitsmaßnahmen für Organisationen weltweit.

Die Quelle für diesen Artikel sind Artikel in den Hacker-Nachrichten und SecurityWeek.

 

Zusammenfassung
CACTUS Qlik Ransomware: Schwachstellen ausgenutzt
Artikel Name
CACTUS Qlik Ransomware: Schwachstellen ausgenutzt
Beschreibung
Erfahren Sie alles über die Ransomware CACTUS Qlik und bleiben Sie auf dem Laufenden über die sich entwickelnden Cyber-Bedrohungen, um Ihr Netzwerk und Ihre Infrastruktur zu schützen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter