El ransomware CACTUS Qlik: Vulnerabilidades explotadas
Una campaña de ciberataque denominada CACTUS Qlik Ransomware ha cobrado protagonismo en los ataques de ransomware contra sistemas de BI. Los investigadores han advertido de la existencia de amenazas que explotan tres vulnerabilidades de seguridad de Qlik para atacar a diferentes organizaciones y empresas. Veamos cómo los actores de amenazas han conseguido explotar dichas vulnerabilidades y las contramedidas que está tomando Qlik.
Detalles del ransomware CACTUS Qlik
Qlik Sense es una plataforma de análisis de datos e inteligencia empresarial (BI) basada en la nube que suelen utilizar las organizaciones gubernamentales. CACTUS, por su parte, es una cepa de ransomware descubierta en mayo de este año. La táctica del ransomware CACTUS consistía en aprovechar los fallos conocidos de los dispositivos VPN para obtener el acceso inicial.
Aunque los informes sobre el ransomware CACTUS aparecieron por primera vez en mayo de 2023, los exploits se remontan a marzo. Las estrategias del grupo de hackers CACTUS se centraban principalmente en robar datos confidenciales sin cifrar antes de cifrarlos y luego utilizar tácticas de doble extorsión.
Los investigadores de Arctic Wolf han descubierto recientemente los actores de la amenaza CACTUS explotando vulnerabilidades de seguridad de Qlik. Se han identificado tres CVE utilizados para los exploits. Se cree que después de obtener el acceso inicial, los actores de amenazas detrás de CACTUS utilizan múltiples tácticas que incluyen:
- Desinstalación de software de seguridad.
- Modificación de los inicios de sesión administrativos.
- Instalación de software de acceso remoto.
- Despliegue del Protocolo de Escritorio Remoto (RDP) para el movimiento lateral.
- Adquisición de datos y despliegue del ransomware.
Sin embargo, según Qlik, no hay pruebas de que las vulnerabilidades hayan sido explotadas por agentes de amenazas. A declaración de la plataforma de análisis de datos dice, "Aunque nuestros avisos iniciales no indicaban evidencias de explotación maliciosa, estamos investigando diligentemente estos nuevos informes".
Vulnerabilidades de seguridad de Qlik explotadas por actores de amenazas
Los informes han mencionado tres vulnerabilidades reveladas en los últimos tres meses que están siendo explotadas. Estas vulnerabilidades incluyen:
- CVE-2023-41265 - se trata de una vulnerabilidad de túnel de petición HTTP con una calificación de gravedad de 9.9. Esta vulnerabilidad, si se explota, permite a un actor de amenaza elevar sus privilegios. Además, permite a los ciberdelincuentes enviar solicitudes ejecutadas por el servidor backend.
- CVE-2023-41266 - con una puntuación de gravedad de 6,5, esta vulnerabilidad transversal de ruta puede ser explotada por un atacante remoto permitiéndole enviar peticiones HTTP a puntos finales no autorizados.
- CVE-2023-48365 - una ejecución remota de código con una puntuación de gravedad de 9.9 que se vuelve prevalente debido a la validación inexacta de las cabeceras HTTP y conduce a la escalada de privilegios a través de HTTP request tunneling.
Tanto CVE-2023-41265 como CVE-2023-41266 se descubrieron en agostoy el mes siguiente se publicó un parche. Sin embargo, el hecho de que el parche estuviera incompleto fue lo que dio lugar a CVE-2023-48365.
Estrategias del grupo de hackers CACTUS utilizadas durante el ataque
Se cree que los actores de la amenaza, tras la explotación inicial, utilizaron PowerShell y el servicio de transferencia inteligente en segundo plano (BITS) para llevar a cabo el ataque. Utilizaron las herramientas mencionadas a continuación para crear persistencia dentro de la red y controlar el sistema de forma remota.
- Solución remota AnyDesk.
- Un enlace PuTTY que fue renombrado a "putty.exe".
- ManageEngine UMES para renombrar ejecutables que se presentan como archivos Qlik.
Para violar las medidas de seguridad de Qlik Senselos atacantes desinstalaron la solución de seguridad de Sophos cambiando la contraseña de administrador. A partir de este punto, se utilizó el enlace PuTTY para configurar un RDP y realizar movimientos laterales dentro de la red.
A continuación, los atacantes de CACTUS utilizaron WizTree para analizar el espacio en disco y rclone, renombraron "svchost.exe" para adquirir datos, y más tarde desplegaron el ransomware en algunos sistemas que habían sido afectados.
Contramedidas Qlik Sense
Se facilitarán más detalles técnicos, según Arctic Wolf, cuando concluya la investigación de la respuesta al incidente. Los investigadores han declarado actualmente que "Basándonos en los solapamientos significativos observados en todas las intrusiones, atribuimos todos los ataques descritos al mismo actor de amenazas, que fue responsable del despliegue del ransomware Cactus".
Qlik, por su parte, ha lanzado parches tanto en agosto como en septiembre y ha instado a sus clientes a actualizar Qlik Sense Enterprise para Windows. Comentando los recientes exploits, la organización ha declarado, "Recomendamos encarecidamente a todos los clientes que comprueben que han aplicado estos parches. Qlik sigue dedicada a salvaguardar nuestros sistemas y proporcionará más información a medida que esté disponible."
Merece la pena mencionar que Qlik afirma dar servicio a 40.000 clientes, lo que hace que dicha vulnerabilidad tenga un valor primordial para los actores de amenazas. El ataque del ransomware CACTUS Qlik de CACTUS Qlik es un claro recordatorio de las estrategias de ciberseguridad para la visualización de datos y análisis de datos que operan en todo el mundo.
Conclusión
Los investigadores han observado vulnerabilidades en las soluciones Qlik Sense que están siendo explotadas por actores de amenazas con el objetivo de desplegar el ransomware CACTUS. Las actividades de los hackers detrás de este ransomware y sus variantes se remontan a marzo de 2023.
Estos atacantes obtienen acceso autorizado, establecen control remoto, adquieren datos mediante movimientos laterales y despliegan ransomware. La gravedad y las posibles implicaciones negativas de estos sucesos hacen necesarias medidas proactivas de ciberseguridad para las organizaciones de todo el mundo.
La fuente de esta pieza incluye artículos en The Hacker News y SecurityWeek.