En el cambiante mundo de la ciberseguridad, el ransomware sigue siendo una de las amenazas más devastadoras para empresas de todos los tamaños. Un ejemplo reciente es el ataque del ransomware Cactus, que ha puesto en jaque a numerosas organizaciones al explotar vulnerabilidades en Qlik Sense, una popular herramienta de inteligencia empresarial. En este artículo desglosaremos el funcionamiento de este ataque específico y ofrece consejos prácticos para protegerse contra amenazas similares.
Vulnerabilidades en Qlik Sense: El Punto de Entrada
Qlik Sense es una herramienta que permite a los usuarios crear y compartir visualizaciones interactivas de datos, así como obtener información y predicciones asistidas por inteligencia artificial. Sin embargo, esta plataforma también presenta algunos fallos de seguridad que los atacantes de CACTUS han sabido aprovechar para obtener una puerta de entrada a los entornos objetivo.
Según los investigadores de Arctic Wolf, que han publicado un informe sobre esta campaña, se trata de la primera instancia documentada en la que los actores que despliegan el ransomware CACTUS han explotado vulnerabilidades en Qlik Sense para el acceso inicial.
Las vulnerabilidades en cuestión son tres, y han sido reveladas en los últimos tres meses:
- CVE-2023-41265 (puntuación CVSS: 9.9): Una vulnerabilidad de tunelización de peticiones HTTP que permite a un atacante remoto elevar su privilegio y enviar peticiones que se ejecutan por el servidor backend que aloja la aplicación del repositorio.
- CVE-2023-41266 (puntuación CVSS: 6.5): Una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir peticiones HTTP a puntos finales no autorizados.
- CVE-2023-48365 (puntuación CVSS: 9.9): Una vulnerabilidad de ejecución remota de código no autenticada que surge debido a una validación incorrecta de las cabeceras HTTP, permitiendo a un atacante remoto elevar su privilegio mediante el tunelizado de peticiones HTTP.
Te podrá interesar leer: Identificando vulnerabilidades: El poder de las CVE
Cabe destacar que la CVE-2023-48365 es el resultado de un parche incompleto para la CVE-2023-41265, que junto con la CVE-2023-41266, fue divulgada por Praetorian a finales de agosto de 2023. Un parche para la CVE-2023-48365 fue lanzado el 20 de septiembre de 2023.
Una vez que los atacantes logran explotar estas vulnerabilidades, abusan del servicio Qlik Sense Scheduler para generar procesos que están diseñados para descargar herramientas adicionales con el objetivo de establecer persistencia y configurar el control remoto. Entre estas herramientas se encuentran ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink. Los atacantes también han sido observados desinstalando el software Sophos, cambiando la contraseña de la cuenta de administrador y creando un túnel RDP a través de Plink.
Las cadenas de ataque culminan con el despliegue del ransomware CACTUS, con los atacantes también utilizando rclone para la exfiltración de datos. El ransomware CACTUS se caracteriza por requerir una clave para descifrar el binario para su ejecución, lo que probablemente tiene como objetivo evitar la detección por parte del software antivirus. La clave se proporciona dentro de un archivo que contiene texto aleatorio llamado ntuser.dat, que se carga a través de una tarea programada.
Podría interesarte: Ataque de Ransomware con Doble Extorsión
Evolución y sofisticación creciente del ransomware
Recientes revelaciones muestran un panorama de ransomware cada vez más complejo y refinado. Este escenario se ha intensificado debido a una economía sumergida que facilita ataques a gran escala, aprovechando una red de intermediarios que ofrecen acceso inicial y propietarios de botnets que venden acceso a sistemas comprometidos a varios grupos criminales.
Datos de la empresa de ciberseguridad industrial Dragos indican una fluctuación en los ataques de ransomware a organizaciones industriales, disminuyendo de 253 en el segundo trimestre de 2023 a 231 en el tercer. Sin embargo, en octubre de 2023, se reportaron 318 ataques de ransomware en diversos sectores.
Te podrá interesar leer: Semana del Ransomware Octubre 2023
A pesar de los esfuerzos globales para combatir el ransomware, el modelo de "ransomware como servicio" (RaaS) sigue siendo una estrategia rentable y persistente para la extorsión. Se reporta que Black Basta, un notorio grupo de ransomware surgido en abril de 2022, ha acumulado al menos 107 millones de dólares en rescates de Bitcoin de más de 90 víctimas, según un análisis conjunto de Elliptic y Seguro Corvus.
Gran parte de estos fondos se lavaron a través de Garantex, una casa de cambio de criptomonedas rusa sancionada por EE. UU. en abril de 2022 por facilitar operaciones en el mercado negro de Hydra. Además, el estudio reveló conexiones entre Black Basta y el extinto grupo ruso de ciberdelincuencia Conti, que cesó operaciones al emerger Black Basta, así como con QakBot, utilizado para desplegar ransomware.
Elliptic destacó que "aproximadamente el 10% de los rescates se transfirió a Qakbot en casos donde facilitaron el acceso a las víctimas", y rastreó "varios millones de dólares en Bitcoin desde carteras asociadas a Conti hasta las vinculadas con Black Basta".
Te podrá interesar leer: Ciberataque Paraliza Biblioteca de Toronto
¿Cómo protegerse del ransomware CACTUS?
Ante la amenaza del ransomware CACTUS, es importante tomar medidas preventivas para evitar ser víctima de este tipo de ataques. Algunas de las recomendaciones que se pueden seguir son las siguientes:
- Utilizar software antivirus en todo momento y configurarlo para que escanee automáticamente los correos electrónicos y los medios extraíbles en busca de ransomware y otro malware.
- Utilizar soluciones de seguridad, como nuestro SOC, que bloqueen el acceso a sitios web conocidos de ransomware en internet.
- Configurar los sistemas operativos o utilizar software de terceros para permitir sólo la ejecución de aplicaciones autorizadas en los ordenadores, evitando así que el ransomware pueda funcionar.
- Restringir o prohibir el uso de dispositivos personales en las redes de la organización y para el teletrabajo o el acceso remoto, a menos que se tomen medidas adicionales para garantizar la seguridad.
- Utilizar cuentas de usuario estándar en lugar de cuentas con privilegios de administrador siempre que sea posible.
- Evitar el uso de aplicaciones y sitios web personales, como el correo electrónico, el chat y las redes sociales, en los ordenadores de trabajo.
- Evitar abrir archivos, hacer clic en enlaces, etc. de fuentes desconocidas sin comprobar antes si contienen contenido sospechoso. Por ejemplo, se puede ejecutar un escaneo antivirus sobre un archivo e inspeccionar los enlaces cuidadosamente.
Podría interesarte leer: Evita el Pago de Ransomware: Riesgos del Rescate
A medida que avanzamos en 2023, es evidente que los ataques de ransomware seguirán evolucionando. Las organizaciones deben estar preparadas no solo para protegerse contra amenazas conocidas como el ransomware Cactus, sino también para adaptarse a nuevas tácticas y técnicas de los ciberdelincuentes.
El ataque del ransomware Cactus es un recordatorio crucial de la importancia de la ciberseguridad en el mundo digital actual. Mantener los sistemas actualizados, realizar copias de seguridad regulares y educar a los trabajadores son pasos esenciales para protegerse contra este tipo de amenazas. Mientras los ciberdelincuentes continúen adaptando y mejorando sus métodos, las empresas deben permanecer vigilantes y proactivas en la defensa de sus activos digitales.