Ransomware CACTUS : des attaques ciblées exploitant des vulnérabilités de Qlik Sense

Une campagne de ransomware CACTUS a été observée, exploitant des failles de sécurité récemment divulguées dans une plateforme d’analyse et de veille stratégique en nuage appelée Qlik Sense, afin de s’implanter dans des environnements ciblés.

« Cette campagne marque le premier cas documenté […] où des acteurs de la menace déployant le ransomware CACTUS ont exploité des vulnérabilités dans Qlik Sense pour obtenir un accès initial », ont déclaré les chercheurs d’Arctic Wolf Stefan Hostetler, Markus Neis et Kyle Pagelow.

La société de cybersécurité, qui a déclaré réagir à « plusieurs cas » d’exploitation du logiciel, a noté que les attaques profitent probablement de trois failles qui ont été divulguées au cours des trois derniers mois – CVE-2023-41265, CVE-2023-41266 et CVE-2023-48365. Il convient de noter que la CVE-2023-48365 est le résultat d’un correctif incomplet pour la CVE-2023-41265, qui, avec la CVE-2023-41266, a été divulguée par Praetorian à la fin du mois d’août 2023. Un correctif pour CVE-2023-48365 a été livré le 20 septembre 2023.

Dans les attaques observées par Arctic Wolf, une exploitation réussie des failles est suivie par l’utilisation abusive du service Qlik Sense Scheduler pour générer des processus conçus pour télécharger des outils supplémentaires dans le but d’établir une persistance et de mettre en place un contrôle à distance. Ces outils comprennent ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk et Plink. Les acteurs de la menace ont également été observés en train de désinstaller le logiciel Sophos, de changer le mot de passe du compte administrateur et de créer un tunnel RDP via Plink.

Les chaînes d’attaque aboutissent au déploiement du ransomware CACTUS, les attaquants utilisant également rclone pour l’exfiltration des données. Cette révélation intervient alors que le paysage des menaces liées aux ransomwares est devenu plus sophistiqué et que l’économie souterraine a évolué pour faciliter les attaques à grande échelle grâce à un réseau de courtiers d’accès initiaux et de propriétaires de botnets qui revendent l’accès aux systèmes des victimes à plusieurs acteurs affiliés.

 

Selon les données compilées par la société de cybersécurité industrielle Dragos, le nombre d’attaques par ransomware ayant un impact sur les organisations industrielles a diminué, passant de 253 au deuxième trimestre 2023 à 231 au troisième trimestre. En revanche, 318 attaques de ransomware ont été signalées dans tous les secteurs pour le seul mois d’octobre 2023. Malgré les efforts continus des gouvernements à travers le monde pour lutter contre les ransomwares,

Partager:

Les dernières actualités :