Uma falha de segurança recentemente corrigida no software Veeam Backup & Replication está sendo explorada por uma nova operação de ransomware conhecida como EstateRansomware.
A Group-IB, com sede em Cingapura, que descobriu o ator de ameaça no início de abril de 2024, disse que o modus operandi envolveu a exploração de
CVE-2023-27532
(pontuação CVSS: 7.5) para realizar as atividades maliciosas.
Foi dito que o acesso inicial ao ambiente alvo foi facilitado por meio de um appliance Fortinet FortiGate firewall SSL VPN usando uma conta dormente.
"O ator de ameaça moveu-se lateralmente do FortiGate Firewall através do serviço SSL VPN para acessar o servidor de failover", disse o pesquisador de segurança Yeo Zi Wei em uma análise publicada hoje.
Antes do ataque de ransomware, foram notadas tentativas de brute-force VPN em abril de 2024 usando uma conta dormente identificada como 'Acc1'.
Vários dias depois, um login bem-sucedido de VPN usando 'Acc1' foi rastreado até o endereço IP remoto 149.28.106[.]252.
Em seguida, os atores de ameaça procederam para estabelecer conexões RDP do firewall para o servidor de failover, seguido pela implantação de um backdoor persistente nomeado "svchost.exe" que é executado diariamente por meio de uma tarefa agendada.
O acesso subsequente à rede foi realizado usando o backdoor para evitar detecção.
A principal responsabilidade do backdoor é conectar-se a um servidor de comando e controle (C2) via HTTP e executar comandos arbitrários emitidos pelo atacante.
A Group-IB disse que observou o ator explorando a falha do Veeam
CVE-2023-27532
com o objetivo de habilitar xp_cmdshell no servidor de backup e criar uma conta de usuário maliciosa chamada "VeeamBkp", além de conduzir descoberta de rede, enumeração e atividades de coleta de credenciais usando ferramentas como NetScan, AdFind e NitSoft através da nova conta criada.
"Essa exploração envolveu potencialmente um ataque originado da pasta VeeamHax no servidor de arquivos contra a versão vulnerável do software Veeam Backup & Replication instalado no servidor de backup", Zi Wei hipotetizou.
"Essa atividade facilitou a ativação do procedimento armazenado xp_cmdshell e a subsequente criação da conta 'VeeamBkp'."
O ataque culminou na implementação do ransomware, mas não antes de tomar medidas para prejudicar as defesas e mover-se lateralmente do servidor AD para todos os outros servidores e estações de trabalho usando contas de domínio comprometidas.
"O Windows Defender foi permanentemente desativado usando DC.exe [Defender Control], seguido pela implementação e execução do ransomware com PsExec.exe", disse a Group-IB.
A divulgação ocorre enquanto a Cisco Talos revelou que a maioria dos grupos de ransomware prioriza o estabelecimento de acesso inicial utilizando falhas de segurança em aplicativos voltados ao público, anexos de phishing ou violando contas válidas, e contornando defesas em suas cadeias de ataque para aumentar o tempo de permanência nas redes das vítimas.
O modelo de dupla extorsão de exfiltrar dados antes de criptografar arquivos deu origem a ferramentas personalizadas desenvolvidas pelos atores (por exemplo, Exmatter, Exbyte e StealBit) para enviar as informações confidenciais para uma infraestrutura controlada pelo adversário.
Isso necessita que esses grupos de e-crime estabeleçam acesso de longo prazo para explorar o ambiente a fim de entender a estrutura da rede, localizar recursos que possam apoiar o ataque, elevar seus privilégios ou permitir que se misturem, e identificar dados de valor que podem ser roubados.
"Ao longo do último ano, testemunhamos mudanças significativas no espaço do ransomware com o surgimento de vários novos grupos de ransomware, cada um exibindo metas únicas, estruturas operacionais e vitimologia", disse a Talos.
A diversificação destaca uma mudança em direção a mais atividades cibercriminosas direcionadas boutique, à medida que grupos como Hunters International, Cactus e Akira definem nichos específicos, concentrando-se em metas operacionais distintas e escolhas estilísticas para se diferenciarem.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...