Le ransomware Cactus exploite des vulnérabilités critiques de la solution d’analyse de données Qlik Sense pour obtenir un accès initial aux réseaux d’entreprise.

Qlik Sense prend en charge plusieurs sources de données et permet aux utilisateurs de créer des rapports de données personnalisés ou des visualisations interactives pouvant servir aux processus de prise de décision. Le produit peut fonctionner à la fois localement ou dans le cloud.

Fin août, le fournisseur a publié des mises à jour de sécurité pour deux vulnérabilités critiques affectant la version Windows de la plateforme. L’une des vulnérabilités, un bug de traversée de chemin identifié comme CVE-2023-41266, pourrait être exploitée pour générer des sessions anonymes et exécuter des requêtes HTTP vers des points de terminaison non autorisés.

Le deuxième problème, suivi comme CVE-2023-41265 et avec une gravité critique de 9,8, ne nécessite pas d’authentification et peut être exploité pour élever les privilèges et exécuter des requêtes HTTP sur le serveur principal qui héberge l’application.

Le 20 septembre, Qlik a découvert que le correctif pour CVE-2023-41265 était insuffisant à condition d’effectuer une nouvelle mise à jour, suivant le problème comme une vulnérabilité distincte identifiée comme CVE-2023-48365.

Dans un rapport récent, la société de cybersécurité Arctic Wolf met en garde contre le ransomware Cactus qui exploite activement ces failles sur des instances Qlik Sense exposées publiquement et qui ne sont toujours pas corrigées.

Campagne contre le rançongiciel Cactus
Les attaques du ransomware Cactus observées par Arctic Wolf exploitent les problèmes de sécurité pour exécuter du code qui amène le service Qlik Sense Scheduler à lancer de nouveaux processus.

Les attaquants utilisent PowerShell et le Background Intelligent Transfer Service (BITS) pour télécharger des outils qui établissent la persistance et fournissent un accès à distance à la machine :

  • Exécutables ManageEngine UEMS déguisés en fichiers Qlik
  • AnyDesk récupéré directement sur le site officiel
  • Un binaire Plink (PuTTY Link) renommé « putty.exe »

De plus, les attaquants exécutent plusieurs commandes de découverte avec la sortie redirigée vers des fichiers .TTF, qui, selon les chercheurs d’Artic Wolf, servent à obtenir la sortie de la commande via une traversée de chemin.

L’auteur de la menace a également utilisé diverses méthodes pour rester caché et collecter des informations, telles que la désinstallation de l’antivirus Sophos, la modification du mot de passe de l’administrateur et l’établissement d’un tunnel RDP à l’aide de l’outil de connexion en ligne de commande Plink.

Dans la dernière étape de l’attaque, les pirates ont déployé le ransomware Cactus sur les systèmes piratés.

Des preuves supplémentaires recueillies par les analystes d’Arctic Wolf suggèrent que les auteurs de la menace ont utilisé RDP pour se déplacer latéralement, WizTree pour analyser l’espace disque et rclone (déguisé en « svchost.exe ») pour exfiltrer des données.

L’utilisation de ces outils et techniques est conforme à ce que les chercheurs ont observé lors des précédentes attaques du ransomware Cactus.

Pour atténuer les risques de violation, Qlik recommande de mettre à niveau vers les versions suivantes de Sense Enterprise pour Windows :

  • Mise à jour 2 d’août 2023
  • Mise à jour 6 de mai 2023
  • Février 2023 Patch 10
  • Mise à jour 12 de novembre 2022
  • Mise à jour 14 d’août 2022
  • Mise à jour 16 de mai 2022
  • Mise à jour 15 de février 2022
  • Mise à jour 17 de novembre 2021

Le ransomware Cactus est apparu en mars de cette année et a adopté la tactique de la double extorsion, volant les données des victimes puis les cryptant sur les systèmes compromis. Lors d’attaques précédentes, ils ont exploité les failles du VPN Fortinet pour l’accès initial au réseau.

Dans un rapport publié en mai, les chercheurs de Kroll ont distingué l’opération du ransomware en raison de l’utilisation du cryptage pour protéger le binaire du malware contre la détection par les produits de sécurité.

Les chercheurs ont également souligné l’utilisation de l’application de bureau à distance AnyDesk, l’outil rclone pour envoyer les données volées aux services de stockage cloud et l’utilisation de scripts batch pour désinstaller les produits de sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *