De zogeheten Cactus-ransomwaregroep slaat wereldwijd toe. Tien Nederlandse organisaties werden er de afgelopen maanden slachtoffer van. ‘Project Melissa’, een coalitie tussen onder meer Fox-IT, Northwave, Responders en verschillende staatsinstanties, bracht de ‘indicators of compromise‘ (IOC’s) in kaart om meer leed te voorkomen.
Het drietal bedrijven heeft de IOC’s met elkaar gedeeld zodat alle organisaties die bij één van deze partijen klant is, zo snel mogelijk een securitylek of actieve cyberaanval kan bestrijden. De gezamenlijke analyse werd uitgevoerd samen met ESET Nederland. De tien slachtoffers bleken allemaal op dezelfde manier door Cactus gecompromitteerd te zijn. Een Qlik Sense-server, bedoeld voor business intelligence en datavisualisatie, was in alle gevallen niet van een update voorzien.
Fox-IT heeft vervolgens kwetsbare servers geïdentificeerd en die informatie gedeeld met het Dutch Institute for Vulnerability Disclosure (DIVD), het NCSC en het Digital Trust Center (DTC). Naast Nederlandse slachtoffers zijn ook specialisten en autoriteiten in andere landen via het DIVD geïnformeerd.
Wereldwijd zijn er 5.205 Qlik Sense-servers via het internet toegankelijk, waarvan 3.143 kwetsbaar zijn. Aangezien de Cactus-groep telkens op dezelfde manier heeft aangevallen in Nederland, lijken deze servers een favoriete aanvalsroute: in totaal zijn er 122 Qlik-servers uitgebuit. Vermoedelijk is dat door toedoen van Cactus, melden de onderzoekers op Cyberveilig Nederland. Het oplossen van dit gevaar vergt simpelweg het updaten van deze servers.
Nalatig updatebeleid
Nalatig updatebeleid leidt in veel gevallen tot dit soort cybergevaren. Dit komt helaas nog altijd regelmatig voor, zoals ook bleek uit Computest Security-onderzoek waarover we eerder publiceerden. Dat bedrijf is overigens ook betrokken bij Project Melissa, net als DataExpert, NFIR, Tesorion en Trellix. Vanuit de overheid dragen het OM, de politie en het Nationaal Cyber Security Centrum bij aan deze samenwerking. Deloitte en Kennedy van der Laan zijn tevens betrokken.
De Cactus-software is al bekend sinds mei 2023. Deze vorm van ransomware wist zich al gauw te onderscheiden door zichzelf te versleutelen, waardoor de detectie en bestrijding ervan zo lastig mogelijk wordt gemaakt. Frans multinational Schneider Electric was in februari de dupe van een groot datalek door toedoen van Cactus, maar slachtoffers zijn overal ter wereld te vinden.
Analyse
Zowel Fox-IT als Northwave hebben uitgebreid uitgelegd hoe zij te werk zijn gegaan. Eerstgenoemde trok een JSON-bestand uit gedetecteerde servers om de gebruikte versie te identificeren. Dit wordt vermeld met bijvoorbeeld ‘February 2022 Patch 3’, zoals het voorbeeld van Fox-IT laat zien. Via een scanner kon het securitybedrijf dus duizenden kwetsbare servers identificeren. Deze komen het meest voor in de Verenigde Staten, gevolgd door Italië, Brazilië en Nederland.
De werkwijze van Cactus wordt duidelijker door de analyse van Northwave. Die partij licht een casus uit waarbij de Qlik Sense-instance van een organisatie op 3 december 2023 werd geëxploiteerd. Een uur later volgde de inzet van een remote access-tool ManageEngine UEMS. Na ruim een maand radiostilte keerden de Cactus-criminelen terug op 17 januari voor laterale beweging door het IT-netwerk. De aanvallers exfiltreerden vervolgens data, terwijl ze de Remote Desk Protocol (RDP)-connecties verhulden via de command-line connectietool PuTTY Link.
Zes dagen daarna arriveerde het hoofdgerecht: de Cactus-ransomware zelf. Op dat moment had de groep al een ‘grote hoeveelheid data’ te pakken, concludeert Northwave. De versleuteling zelf was overigens niet problematisch, aangezien de klanten van dit bedrijf een back-up paraat hadden staan. Voor partijen die dat niet hebben, zullen de openbaringen hopelijk leiden tot actie.
Lees ook: Cactus-ransomware verspreid via BI-platform Qlik Sense