Die Cactus Ransomware hat kürzlich Sicherheitslücken in Qlik Sense, einer Plattform für Cloud-Analytik und Business Intelligence, ausgenutzt, um in gezielten Angriffen in IT-Systeme einzudringen. Es handelte sich um den ersten dokumentierten Vorfall, bei dem die Cactus Ransomware spezifisch Schwachstellen in Qlik Sense für den initialen Zugang ausnutzte.
Die Angriffe nutzten drei kürzlich aufgedeckte Schwachstellen aus:
- CVE-2023-41265: Eine HTTP-Request-Tunneling-Schwachstelle, die es einem entfernten Angreifer ermöglicht, seine Berechtigungen zu erhöhen.
- CVE-2023-41266: Eine Pfad-Traversierungs-Schwachstelle, die nicht authentifizierten Angreifern das Senden von HTTP-Anfragen an unberechtigte Endpunkte erlaubt.
- CVE-2023-48365: Eine Schwachstelle, die aufgrund unzureichender Validierung von HTTP-Headern zu unauthentisierter Remote-Code-Ausführung führt.
Die Angreifer nutzten diese Schwachstellen, um den Qlik Sense Scheduler-Dienst zu missbrauchen und Prozesse zu starten, die weitere Tools herunterluden, um Persistenz zu etablieren und Fernzugriff einzurichten. Dies beinhaltete die Deinstallation von Sophos-Software, das Ändern des Administratorpassworts und die Erstellung eines RDP-Tunnels mittels Plink. Der Angriff gipfelte in der Implementierung der Cactus Ransomware und dem Einsatz von Rclone zur Datenexfiltration.
So beugen Sie einer Infektion mit Catcus Ransomware vor
Um einer Infektion mit der Cactus Ransomware vorzubeugen, sollten folgende Cyberhygiene Maßnahmen ergriffen werden:
Tipps gegen Ransomware Attacken
- Regelmäßige Updates
Regelmäßige Aktualisierung aller Software, um sicherzustellen, dass alle Sicherheitspatches installiert sind
- Regelmäßige Backups
Erstellen Sie regelmäßige und sichere Backups Ihrer wichtigen Daten, um im Falle einer Infektion den Datenverlust zu minimieren
- Schulung der Mitarbeiter
Sensibilisieren Sie Mitarbeiter für Cybersecurity-Bedrohungen, insbesondere für Phishing und Social Engineering.
- Einsatz von Antivirus-Software und Firewalls
Installieren und aktualisieren Sie zuverlässige Antivirus-Software und Firewalls
- Beschränkung des Zugriffs
Beschränken Sie den Zugriff auf kritische Systeme und Daten und verwenden Sie das Prinzip der geringsten Berechtigungen
- Überwachung und schnelle Reaktion
Implementieren Sie Überwachungssysteme und einen Incident-Response-Plan für den Fall eines Cyberangriffs
- Sicherheitsaudits
Führen Sie regelmäßige Sicherheitsaudits durch, um Schwachstellen zu identifizieren und zu beheben
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: