Atores de ameaças estão ativamente tentando explorar uma falha de segurança corrigida no Veeam Backup & Replication para implantar o ransomware Akira e Fog.
O fornecedor de cibersegurança Sophos disse que tem acompanhado uma série de ataques no último mês que se aproveitam de credenciais VPN comprometidas e do CVE-2024-40711 para criar uma conta local e implantar o ransomware.
O CVE-2024-40711, avaliado em 9.8 de 10.0 na escala CVSS, refere-se a uma vulnerabilidade crítica que permite a execução remota de código não autenticado.
Foi solucionado pela Veeam na versão 12.2 do Backup & Replication no início de setembro de 2024.
O pesquisador de segurança Florian Hauser, da CODE WHITE, com sede na Alemanha, foi creditado pela descoberta e relato das deficiências de segurança.
"Em cada um dos casos, os atacantes acessaram inicialmente os alvos usando gateways VPN comprometidos sem autenticação multifator ativada", disse a Sophos.
"Algumas dessas VPNs estavam executando versões de software sem suporte." A cada vez, os atacantes exploravam o VEEAM na URI /trigger na porta 8000, acionando o Veeam.Backup.MountService.exe para gerar o net.exe.
O exploit cria uma conta local, 'point', adicionando-a aos grupos de Administradores locais e Usuários de Área de Trabalho Remota. No ataque que levou à implantação do Fog ransomware, diz-se que os atores de ameaça droparam o ransomware em um servidor Hyper-V desprotegido, enquanto usavam a utilidade rclone para exfiltrar dados.
As outras implantações de ransomware não tiveram sucesso.
A exploração ativa do CVE-2024-40711 levou a um aviso do NHS England, que observou que "aplicações de backup empresarial e recuperação de desastres são alvos valiosos para grupos de ameaças cibernéticas." A divulgação ocorre enquanto a Unit 42 da Palo Alto Networks detalhou um sucessor do ransomware INC chamado Lynx, que está ativo desde julho de 2024, mirando organizações nos setores de varejo, imobiliário, arquitetura, serviços financeiros e ambientais nos EUA e no Reino Unido.
A emergência do Lynx foi supostamente estimulada pela venda do código-fonte do ransomware INC no mercado criminal underground já em março de 2024, levando os autores de malware a reempacotar o bloqueador e gerar novas variantes.
"O ransomware Lynx compartilha uma porção significativa de seu código-fonte com o ransomware INC," disse a Unit 42.
"O ransomware INC apareceu inicialmente em agosto de 2023 e tinha variantes compatíveis com Windows e Linux." Isso também segue um aviso do Departamento de Saúde e Serviços Humanos dos EUA (HHS) Centro de Coordenação de Cibersegurança do Setor de Saúde (HC3) de que pelo menos uma entidade de saúde no país foi vítima do ransomware Trinity, outro player relativamente novo de ransomware que se tornou conhecido em maio de 2024 e é acreditado ser uma rebrand de 2023Lock e Venus ransomware.
"É um tipo de software malicioso que infiltra sistemas através de vários vetores de ataque, incluindo e-mails de phishing, sites maliciosos e exploração de vulnerabilidades de software," disse o HC3.
Uma vez dentro do sistema, o ransomware Trinity emprega uma estratégia de extorsão dupla para mirar suas vítimas. Ataques cibernéticos também foram observados entregando uma variante do ransomware MedusaLocker apelidada de BabyLockerKZ por um ator de ameaça motivado financeiramente conhecido por estar ativo desde outubro de 2022, com alvos principalmente localizados nos países da UE e na América do Sul.
"Esse atacante usa várias ferramentas de ataque conhecidas publicamente e binários de living-off-the-land (LoLBins), um conjunto de ferramentas construídas pelo mesmo desenvolvedor (possivelmente o atacante) para auxiliar no roubo de credenciais e movimentação lateral em organizações comprometidas," disseram os pesquisadores da Talos.
Essas ferramentas são principalmente wrappers em torno de ferramentas disponíveis publicamente que incluem funcionalidade adicional para agilizar o processo de ataque e fornecer interfaces gráficas ou de linha de comando.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...