Novo Grupo de Ransomware Backup Veeam
11 de Julho de 2024

Uma falha de segurança recentemente corrigida no software Veeam Backup & Replication está sendo explorada por uma nova operação de ransomware conhecida como EstateRansomware.

A Group-IB, com sede em Cingapura, que descobriu o ator de ameaça no início de abril de 2024, disse que o modus operandi envolveu a exploração de CVE-2023-27532 (pontuação CVSS: 7.5) para realizar as atividades maliciosas.

Foi dito que o acesso inicial ao ambiente alvo foi facilitado por meio de um appliance Fortinet FortiGate firewall SSL VPN usando uma conta dormente.

"O ator de ameaça moveu-se lateralmente do FortiGate Firewall através do serviço SSL VPN para acessar o servidor de failover", disse o pesquisador de segurança Yeo Zi Wei em uma análise publicada hoje.

Antes do ataque de ransomware, foram notadas tentativas de brute-force VPN em abril de 2024 usando uma conta dormente identificada como 'Acc1'.

Vários dias depois, um login bem-sucedido de VPN usando 'Acc1' foi rastreado até o endereço IP remoto 149.28.106[.]252.

Em seguida, os atores de ameaça procederam para estabelecer conexões RDP do firewall para o servidor de failover, seguido pela implantação de um backdoor persistente nomeado "svchost.exe" que é executado diariamente por meio de uma tarefa agendada.

O acesso subsequente à rede foi realizado usando o backdoor para evitar detecção.

A principal responsabilidade do backdoor é conectar-se a um servidor de comando e controle (C2) via HTTP e executar comandos arbitrários emitidos pelo atacante.

A Group-IB disse que observou o ator explorando a falha do Veeam CVE-2023-27532 com o objetivo de habilitar xp_cmdshell no servidor de backup e criar uma conta de usuário maliciosa chamada "VeeamBkp", além de conduzir descoberta de rede, enumeração e atividades de coleta de credenciais usando ferramentas como NetScan, AdFind e NitSoft através da nova conta criada.

"Essa exploração envolveu potencialmente um ataque originado da pasta VeeamHax no servidor de arquivos contra a versão vulnerável do software Veeam Backup & Replication instalado no servidor de backup", Zi Wei hipotetizou.

"Essa atividade facilitou a ativação do procedimento armazenado xp_cmdshell e a subsequente criação da conta 'VeeamBkp'."

O ataque culminou na implementação do ransomware, mas não antes de tomar medidas para prejudicar as defesas e mover-se lateralmente do servidor AD para todos os outros servidores e estações de trabalho usando contas de domínio comprometidas.

"O Windows Defender foi permanentemente desativado usando DC.exe [Defender Control], seguido pela implementação e execução do ransomware com PsExec.exe", disse a Group-IB.

A divulgação ocorre enquanto a Cisco Talos revelou que a maioria dos grupos de ransomware prioriza o estabelecimento de acesso inicial utilizando falhas de segurança em aplicativos voltados ao público, anexos de phishing ou violando contas válidas, e contornando defesas em suas cadeias de ataque para aumentar o tempo de permanência nas redes das vítimas.

O modelo de dupla extorsão de exfiltrar dados antes de criptografar arquivos deu origem a ferramentas personalizadas desenvolvidas pelos atores (por exemplo, Exmatter, Exbyte e StealBit) para enviar as informações confidenciais para uma infraestrutura controlada pelo adversário.

Isso necessita que esses grupos de e-crime estabeleçam acesso de longo prazo para explorar o ambiente a fim de entender a estrutura da rede, localizar recursos que possam apoiar o ataque, elevar seus privilégios ou permitir que se misturem, e identificar dados de valor que podem ser roubados.

"Ao longo do último ano, testemunhamos mudanças significativas no espaço do ransomware com o surgimento de vários novos grupos de ransomware, cada um exibindo metas únicas, estruturas operacionais e vitimologia", disse a Talos.

A diversificação destaca uma mudança em direção a mais atividades cibercriminosas direcionadas boutique, à medida que grupos como Hunters International, Cactus e Akira definem nichos específicos, concentrando-se em metas operacionais distintas e escolhas estilísticas para se diferenciarem.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...