Após ser usado em ataques de ransomware Akira e Fog, uma falha de segurança crítica no Veeam Backup & Replication (VBR) também foi recentemente explorada para implantar o ransomware Frag.
O pesquisador de segurança da Code White, Florian Hauser, descobriu que a vulnerabilidade (rastreada como CVE-2024-40711) é causada por uma fraqueza na deserialização de dados não confiáveis que atores de ameaças não autenticados podem explorar para obter execução remota de código (RCE) em servidores Veeam VBR.
O watchTowr Labs, que publicou uma análise técnica sobre o CVE-2024-40711 em 9 de setembro, atrasou a liberação de um exploit de prova de conceito até 15 de setembro para dar aos administradores tempo suficiente para aplicar as atualizações de segurança emitidas pela Veeam em 4 de setembro.
A Code White também atrasou o compartilhamento de mais detalhes quando divulgou a falha porque "poderia ser instantaneamente abusada por gangues de ransomware".
Esses atrasos foram motivados pelo software VBR da Veeam ser um alvo popular para atores de ameaças que buscam acesso rápido aos dados de backup de uma empresa, uma vez que muitos negócios o utilizam como uma solução de recuperação de desastres e proteção de dados para fazer backup, restaurar e replicar máquinas virtuais, físicas e na nuvem.
Contudo, os respondentes de incidentes do Sophos X-Ops descobriram que isso fez muito pouco para atrasar os ataques do ransomware Akira e Fog.
Os atores de ameaças exploraram a falha RCE juntamente com credenciais roubadas de gateways VPN para adicionar contas fraudulentas aos grupos de Administradores Locais e Usuários de Desktop Remoto em servidores expostos à Internet e não atualizados.
Mais recentemente, o Sophos também descobriu que o mesmo cluster de atividade de ameaça (rastreado como "STAC 5881") usou exploits CVE-2024-40711 em ataques que levaram à implantação do ransomware Frag em redes comprometidas.
"Em um caso recente, os analistas de MDR observaram novamente as táticas associadas ao STAC 5881 – mas desta vez observaram a implantação de um ransomware anteriormente não documentado chamado 'Frag'", disse Sean Gallagher, pesquisador-chefe de ameaças no Sophos X-Ops.
Semelhante aos eventos anteriores, o ator de ameaça usou um dispositivo VPN comprometido para acesso, explorou a vulnerabilidade da VEEAM e criou uma nova conta chamada 'point'.
No entanto, neste incidente, uma conta 'point2' também foi criada.
Em um relatório recente, a empresa britânica de cibersegurança Agger Labs disse que a recente gangue de ransomware Frag usa extensivamente binários Living Off The Land (LOLBins) em seus ataques — software legítimo já disponível em sistemas comprometidos — tornando desafiador para os defensores detectarem sua atividade.
Eles também têm um playbook semelhante aos operadores de Akira e Fog, pois provavelmente visarão vulnerabilidades não corrigidas e má configurações em soluções de backup e armazenamento durante seus ataques.
Em março de 2023, a Veeam corrigiu outra vulnerabilidade de alta gravidade no VBR (
CVE-2023-27532
) que pode permitir que atores maliciosos violem a infraestrutura de backup.
Meses depois, um exploit
CVE-2023-27532
(usado em ataques vinculados ao grupo de ameaças financeiramente motivado FIN7) foi implantado em ataques de ransomware Cuba visando organizações de infraestrutura crítica nos EUA.
A Veeam afirma que mais de 550.000 clientes em todo o mundo usam seus produtos, incluindo aproximadamente 74% de todas as empresas na lista Global 2.000.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...