Uma campanha do ransomware Cactus foi observada explorando falhas de segurança recentemente divulgadas na plataforma de análise de negócios e inteligência na nuvem, Qlik Sense.

Esta é a primeira instância documentada em que os atores de ameaça que implantam o ransomware Cactus exploraram vulnerabilidades no Qlik Sense para obter acesso inicial, conforme relatado pelos pesquisadores Stefan Hostetler, Markus Neis e Kyle Pagelow.

Nos ataques observados, uma exploração bem-sucedida das falhas é seguida pelo abuso do serviço Qlik Sense Scheduler para gerar processos projetados para baixar ferramentas adicionais com o objetivo de estabelecer persistência e configurar controle remoto.

Isso inclui o uso de ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk e Plink. Os atores de ameaça também foram observados desinstalando software da Sophos, alterando a senha da conta de administrador e criando um túnel RDP via Plink.

As cadeias de ataque culminam na implantação do ransomware Cactus, com os atacantes também usando rclone para exfiltração de dados.

A divulgação ocorre em um momento em que a ameaça de ransomware se tornou mais sofisticada, e a economia subterrânea evoluiu para facilitar ataques em larga escala por meio de uma rede de corretores de acesso inicial e proprietários de botnets que revendem acesso a sistemas de vítimas para vários atores afiliados.

Cactus Ransomware explora vulnerabilidades no Qlik Sense

Ataques de Bots ameaçam sites de E-commerce e bancos dos EUA

Google apresenta RETVec para melhorar detecção de Spam no Gmail

Mais de 200 Apps maliciosos visam setor bancário

Botnet GoTitan explora falha crítica no Apache ActiveMQ

Okta revela mais detalhes sobre violação de dados em Outubro

Vulnerabilidade no Microsoft Access Expõe Tokens NTLM

Hackers Norte-Coreanos aumentam sofisticação em ataques cibernéticos

Gigante da saúde Henry Schein sofre novo ataque de Ransomware

HackerSec oferece plataforma avançada de cibersegurança