Cactus-ransomware wordt verspreid via het BI Qlik Sense-platform

Cactus-ransomware wordt actief verspreid via het cloud analytics- en BI-platform Qlik Sense. Beveiligingsspecialisten van Arctic Wolf Labs ontdekten dit onlangs.

Volgens Arcticwolf Dit is de eerste keer dat kwetsbaarheden in Qlik Sense worden uitgebuit om toegang te krijgen tot systemen om Cactus-ransomware te verspreiden. Bij deze aanval maken hackers misbruik van een combinatie van bekende kwetsbaarheden in cloudanalyse- en business intelligence-platforms. Dit zijn met name de kwetsbaarheden CVE-2023-41266, CVE-2023-41265 en mogelijk ook CVE-2023-48365. Deze kwetsbaarheden worden uitgebuit om op afstand code uit te voeren, in dit geval om de Cactus-ransomware te verspreiden.

Aanvalspad

Na te hebben onderzocht wat er in Qlik Sense gebeurt na een succesvolle exploit, ontdekten beveiligingsspecialisten dat hackers later onder meer gebruik maakten van de dienst Qlik Sense Scholer. Ze misbruikten ook PowerShell en de Background Intelligent Transfer Service (BITS) om andere tools te downloaden. Deze tools gaven hen de mogelijkheid om functies van afstandsbediening uit te voeren.

Cactus-ransomware verspreiden

Bovendien werden verdachte activiteiten waargenomen die wezen op de introductie en exploitatie van de Cactus-ransomware. Deze verdachte activiteiten omvatten het gebruik van RDP voor zijwaartse bewegingen, het downloaden van de WizTree-schijfanalysator en het gebruik van rclone om gegevens te extraheren.

Andere kwaadaardige acties waren onder meer het inzetten van ManageEngine UEMS en AnyDesk voor externe toegang, het actief verwijderen van Sophos-software, het wijzigen van het beheerderswachtwoord en het opzetten van een RDP-tunnel via Plink.

Arctic Wolf is nog bezig met het onderzoeken van het incident, nadat het bij een klant thuis werd aangetroffen. De beveiligingsspecialist geeft aan dat er in een later stadium meer details zullen worden gepubliceerd.

Lees ook: Cybersecurity in 2023: is het vijf voor vijf of vijf over twaalf?