De recente ontdekking van de ransomwaregroepering ‘Cactus’ door een samenwerking van verschillende cybersecuritybedrijven en overheidsinstellingen heeft de aandacht gevestigd op een belangrijk beveiligingsprobleem. Dit probleem betreft kwetsbaarheden in Qlik Sense-servers, die door Cactus worden gebruikt om in te breken in bedrijfsnetwerken.
Ransomwaregroep ‘Cactus’ en hun werkwijze
Sinds eind 2023 zijn wereldwijd verschillende aanvallen van Cactus gedocumenteerd. Uit onderzoek door Fox-IT, Northwave en Responders, in samenwerking met project Melissa, is gebleken dat minstens tien Nederlandse organisaties het slachtoffer zijn geworden van deze ransomwaregroep. Het blijkt dat de aanvallen steeds dezelfde methode volgden, waarbij een kwetsbare versie van Qlik Sense werd gebruikt om ongeoorloofde toegang tot de IT-omgeving te verkrijgen.
Cybersecuritybedrijven deelden hun technische kennis en ‘Indicators of Compromise’ (IOC’s) om het aantal slachtoffers te beperken . Deze IOC’s zijn stukjes informatie die wijzen op mogelijke inbreuken op de beveiliging of cyberaanvallen. Door gezamenlijk te analyseren hoe Cactus werkt, ontdekten de onderzoekers dat een verouderde Qlik Sense-server vaak het eerste doelwit is van deze ransomwaregroep.
Wat is Ransomwaregroep Cactus?
Ransomwaregroep Cactus is een beruchte cybercriminele organisatie die bekendstaat om het uitvoeren van ransomware-aanvallen op bedrijven en instellingen wereldwijd. De groep kwam eind 2023 voor het eerst in de aandacht, met aanvallen waarbij ze gevoelige gegevens van slachtoffers versleutelden en losgeld eisten voor hun vrijgave.
Cactus gebruikt een geavanceerde methode om in te breken in IT-systemen. Ze richten zich vaak op verouderde of slecht beveiligde software, zoals de Qlik Sense-servers. Eenmaal binnen een netwerk, versleutelen ze kritische bestanden, waardoor de slachtoffers geen toegang meer hebben tot hun eigen gegevens. Vervolgens eisen ze een grote som losgeld, meestal in cryptocurrency, in ruil voor de decryptiesleutel.
Het identificatieproces en de impact
Fox-IT gebruikte ‘fingerprinting’ om te identificeren welke servers kwetsbaar waren en welke mogelijk al door Cactus werden gebruikt. Deze informatie werd gedeeld met het Dutch Institute for Vulnerability Disclosure (DIVD), het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC). Het DTC informeerde vervolgens Nederlandse bedrijven over deze kwetsbaarheid zodat zij de benodigde maatregelen konden nemen .
Door het tijdig bijwerken van de Qlik Sense-server kunnen bedrijven voorkomen dat Cactus in hun netwerk doordringt. Dit voorkomt niet alleen ransomware-aanvallen, maar vermindert ook de kans op dataverlies en reputatieschade. De informatie van project Melissa is ook gedeeld met buitenlandse Computer Security Incident Response Teams (CSIRTs) en politiediensten, zodat andere landen zich ook bewust worden van de risico’s en actie kunnen ondernemen .
Wat is ‘Fingerprinting’?
Fingerprinting is een techniek die wordt gebruikt om specifieke kenmerken van software, hardware of systemen te identificeren. In het kader van cybersecurity kan fingerprinting helpen bij het detecteren van kwetsbaarheden en afwijkingen die kunnen wijzen op een potentiële ransomware-aanval. Het werkt door unieke attributen van een systeem of applicatie te analyseren, zoals configuraties, versie-informatie of identificatiecodes. Cybersecurity-experts gebruiken deze methode om kwetsbare systemen te lokaliseren, bijvoorbeeld servers met verouderde software, die een gemakkelijke toegangspoort kunnen vormen voor ransomware-aanvallers. Door deze kwetsbaarheden vroegtijdig te identificeren, kunnen organisaties gerichte beveiligingsmaatregelen nemen om ransomware te voorkomen.
Preventie en het belang van samenwerking
Het succes van deze samenwerking toont aan hoe belangrijk het is dat verschillende partijen hun kennis delen om cybercriminaliteit te bestrijden. Wereldwijd zijn er ongeveer 5200 Qlik Sense-servers die toegankelijk zijn via internet, waarvan meer dan 3100 kwetsbaar zijn. De inspanningen van project Melissa hebben dus potentieel 3100 slachtoffers van ransomware kunnen voorkomen. Hoewel de samenwerking al resultaten oplevert, is het essentieel om continu de cybersecurity-infrastructuur te controleren en te verbeteren om nieuwe bedreigingen te bestrijden.
