Arctic Wolf Labs hat aktuelle Informationen über eine neue, sich schnell ausbreitende Cactus-Ransomware-Kampagne veröffentlicht, die „Qlik Sense“, eine Cloud-Analyse- und Business-Intelligence-Plattform, ausnutzt.
Der Anbieter von Security-Operations veröffentlicht diese Information so früh wie möglich, um die Cybersicherheits-Community frühzeitig zu informieren und zu warnen.
Die Untersuchungen laufen noch, aber erste wichtige Forschungsergebnisse sind:
- Qlik-Sense wurde sehr wahrscheinlich entweder über CVE-2023-41265 und CVE-2023-41266 oder CVE-2023-48365 ausgenutzt.
- Diese Kampagne ist der erste dokumentierte Fall, von dem Arctic Wolf weiß, bei dem Bedrohungsakteure, die Cactus-Ransomware einsetzen und Schwachstellen in Qlik-Sense für den Erstzugang ausgenutzt haben.
- Die Experten der Arctic Wolf Labs haben mehrere Angriffe auf Qlik-Sense, die zur Ausführung der Cactus-Ransomware führten, untersucht und darauf reagiert. Die beobachtete Execution-Chain war bei allen identifizierten Vorfällen konsistent und beinhaltet den Qlik-Sense-Scheduler-Dienst (Scheduler.exe), der abnormale Prozesse auslöst.
- Aktuelle Beweise, die Arctic Wolf identifiziert hat, zeigen, dass die Bedrohungsakteure, die Cactus-Ransomware einsetzen, RDP für laterale Bewegungen nutzen, „TizTree Disk Space Analyzer“ herunterladen und „rclone“ (umbenannt in svchost.exe) für die Datenexfiltration einsetzen.
Info: Detaillierte Erkenntnisse finden sich unterhttps://www.arcticwolf.com/resources/blog/qlik-sense-exploited-in-cactus-ransomware-campaign/
#ArcticWolf
