Cactus Ransomware
Método de distribución
Se han observado tres principales vectores de ataque para la distribución del Ransomware Cactus, a través de publicidad maliciosa, explotación de dispositivos VPN y explotación del software “Qlik Sense”, la campaña de Ransomware catalogada como “Storm- 0216” establece el acceso inicial del compromiso.
Métodos de infección
Los últimos compromisos por Storm-0216 hacen uso de un método de distribución común, a través de publicidad falsa engañan al usuario con el fin de lograr la descarga de “Danabot”, este establece una sesión de comando y control entre la víctima y el atacante donde el objetivo es el robo de credenciales válidas.
Una vez obtenidas, proceden con movimientos laterales vía escritorio remoto (RDP) y eventualmente ganar privilegios elevados para propagar y ejecutar el Ransomware a los activos de la infraestructura.
Además, se ha detectado la explotación de vulnerabilidades presentes en dispositivos de VPN, principalmente Fortinet (CVE-2023-22635, CVE-2022-43946 y CVE-2022-42470) y la explotación del software “Qlik Sense” (CVE-2023-41265, CVE-2023-41266, CVE-2023-48365) como otros accesos iniciales.
Ejecución de cifrado
El primer paso del atacante es robar la información valiosa de los activos utilizando herramientas de filtración comunes, alojando la información en los repositorios del atacante. Posteriormente, ejecuta un script conocido como ( f1[.]bat ) para crear un usuario con privilegios administrativos, y ejecutar el ransomware.
Una vez cifrado el primer equipo, procede a utilizar PsExec con el fin de propagar el binario de cifrado en toda la lista de equipos anteriormente enumerados por el atacante.
La metodología del binario de cifrado está reflejado en la siguiente imagen:
Recomendaciones
- Campañas de concientización de seguridad y phishing.
- Actualización de dispositivos VPN.
- Múltiple factor de autenticación.
- Implementación de soluciones PAM.
- Actualización de solución Qlik Sense.
- Implementación de solución contra amenazas avanzadas.
- Monitoreo de comportamiento a nivel sistema operativo.
- Asegurar que las vulnerabilidades (CVE-2023-22635, CVE-2022-43946 y CVE-2022-42470) no esten presentes en dispositivos VPN Fortinet
- Asegurar que las vulnerabilidades (CVE-2023-41265, CVE-2023-41266, CVE-2023-48365) no esten presentes en la solución Qlik Sense.
Indicadores de compromiso
| Indicator type | Indicator |
| URL | https://diskanalyzer.com/ |
| CVE | CVE-2023-41265 |
| CVE | CVE-2023-41266 |
| CVE | CVE-2023-43177 |
| CVE | CVE-2023-48365 |
| FileHash-MD5 | 848f7edb825813aee4c09c7f2ec71d27 |
| FileHash-SHA1 | 4709827c7a95012ab970bf651ed5183083366c79 |
| FileHash-SHA256 | 3ac8308a7378dfe047eacd393c861d32df34bb47535972eb0a35631ab964d14d |
| FileHash-SHA256 | 6cb87cad36f56aefcefbe754605c00ac92e640857fd7ca5faab7b9542ef80c96 |
| FileHash-SHA256 | 828e81aa16b2851561fff6d3127663ea2d1d68571f06cbd732fdf5672086924d |
| FileHash-SHA256 | 90b009b15eb1b5bc4a990ecdd86375fa25eaa67a8515ae6c6b3b58815d46fa82 |
| IPv4 | 144.172.122.30 |
| IPv4 | 216.107.136.46 |
| IPv4 | 45.61.147.176 |
| URL | http://216.107.136.46/Qliksens_update.zip |
| URL | http://216.107.136.46/Qliksens_updated.zip |
| URL | http://216.107.136.46/Qliksens_updated.zip' |
| URL | http://zohoservice.net/anydesk.zip' |
| URL | http://zohoservice.net/putty.zip |
| URL | http://zohoservice.net/qlik-sens-Patch.zip |
| URL | http://zohoservice.net/qlik-sens-nov.zip |
| URL | https://www.praetorian.com/blog/doubleqlik-bypassing-the-original-fix-for-cve-2023-41265/ |
| URL | https://www.praetorian.com/blog/qlik-sense-technical-exploit/ |
| domain | diskanalyzer.com |
| domain | zohoservice.net |
| hostname | www.praetorian.com |
| FileHash-MD5 | 1add9766eb649496bc2fa516902a5965 |
| FileHash-MD5 | 2611833c12aa97d3b14d2ed541df06b2 |
| FileHash-MD5 | 5737cb3a9a6d22e957cf747986eeb1b3 |
| FileHash-MD5 | 949d9523269604db26065f002feef9ae |
| FileHash-MD5 | de6ce47e28337d28b6d29ff61980b2e9 |
| FileHash-MD5 | e28db6a65da2ebcf304873c9a5ed086d |
| FileHash-MD5 | eba1596272ff695a1219b1380468293a |
| FileHash-SHA1 | 173f9b0db97097676a028b4b877630adc7281d2f |
| FileHash-SHA1 | cb570234349507a204c558fc8c4ecf713e2c0ac3 |
| FileHash-SHA256 | 78c16de9fc07f1d0375a093903f86583a4e32037a7da8aa2f90ecb15c4862c17 |
| FileHash-SHA256 | c52ad663ff29e146de6b7b20d834304202de7120e93a93de1de1cb1d56190bfd |
| URL | http://sonarmsng5vzwqezlvtu2iiwwdn3dxkhotftikhowpfjuzg7p3ca5eid.onion/contact/Cactus_Support |
| domain | cactusbloguuodvqjmnzlwetjlpj6aggc6iocwhuupb47laukux7ckid.onion |
| domain | sonarmsng5vzwqezlvtu2iiwwdn3dxkhotftikhowpfjuzg7p3ca5eid.onion |
| [email protected] | |
| FileHash-MD5 | 26f3a62d205004fbc9c76330c1c71536 |
| FileHash-MD5 | 3adc612b769a2b1d08b50b1fb5783bcf |
| FileHash-MD5 | 78aea93137be5f10e9281dd578a3ba73 |
| FileHash-MD5 | be7b13aee7b510b052d023dd936dc32f |
| FileHash-MD5 | d5e5980feb1906d85fbd2a5f2165baf7 |
| FileHash-MD5 | d9f15227fefb98ba69d98542fbe7e568 |
| FileHash-SHA1 | 248795453ceb95e39db633285651f7204813ea3a |
| FileHash-SHA1 | 6715b888a280d54de9a8482e40444087fd4d5fe8 |
| FileHash-SHA256 | 5b70972c72bf8af098350f8a53ec830ddbd5c2c7809c71649c93f32a8a3f1371 |
| FileHash-SHA256 | b9ef2e948a9b49a6930fc190b22cbdb3571579d37a4de56564e41a2ef736767b |
| IPv4 | 163.123.142.213 |
Referencias
https://therecord.media/cactus-ransomware-actors-using-malvertising-microsoft
https://enhacke.com/blog/microsoft-alerta-sobre-ransomware-cactus-y-malvertising- 656ddfe7096f7
https://www.bleepingcomputer.com/news/security/cactus-ransomware-exploiting-qliksense-flaws-to-breach-networks/
https://community.qlik.com/t5/Support-Updates/Qlik-Sense-Enterprise-for-WindowsNew-Security-Patches-Available/ba-p/2108549
https://thehackernews.com/2023/11/cactus-ransomware-exploits-qlik-sense.html
https://widefense.com/observatorio-de-amenazas/ransomware-cactus-explotavulnerabilidades-vpn
