Um afiliado do ransomware ALPHV/BlackCat foi observado explorando três vulnerabilidades que afetam o produto Veritas Backup para obter acesso inicial à rede alvo.
A operação de ransomware ALPHV surgiu em dezembro de 2021 e é considerada como sendo conduzida por antigos membros dos programas Darkside e Blackmatter, que encerraram abruptamente para escapar da pressão das autoridades.
A Mandiant rastreia o afiliado ALPHV como 'UNC4466' e observa que o método é uma variação da intrusão típica, que depende de credenciais roubadas.
A Mandiant relata que observou os primeiros casos de exploração das falhas do Veritas na natureza em 22 de outubro de 2022.
As falhas de alta gravidade visadas pela UNC4466 são:
As três falhas afetam o software Veritas Backup.
O fornecedor as divulgou em março de 2021 e lançou uma correção com a versão 21.2.
No entanto, apesar de mais de dois anos terem se passado desde então, muitos endpoints ainda permanecem vulneráveis, pois não atualizaram para uma versão segura.
A Mandiant diz que um serviço comercial de varredura mostrou que existem na web pública mais de 8.500 endereços IP que anunciam o serviço "Symantec/Veritas Backup Exec ndmp" na porta padrão 10000 e nas portas 9000 e 10001.
Um módulo Metasploit para explorar essas vulnerabilidades foi lançado ao público em 23 de setembro de 2022.
O código permite que os atacantes criem uma sessão e interajam com os endpoints violados.
De acordo com a Mandiant, a UNC4466 começou a usar o módulo específico um mês após ele se tornar disponível.
Conforme as observações da Mandiant, a UNC4466 compromete um servidor Windows exposto na Internet que executa o Veritas Backup Exec, usando o módulo Metasploit publicamente disponível e mantém acesso persistente ao host.
Após a violação inicial, o ator da ameaça usou as utilidades Advanced IP Scanner e ADRecon para coletar informações sobre o ambiente da vítima.
Em seguida, eles baixaram ferramentas adicionais no host, como LAZAGNE, LIGOLO, WINSW, RCLONE e, finalmente, o criptografador de ransomware ALPHV por meio do Serviço de Transferência Inteligente em Segundo Plano (BITS).
O ator da ameaça usou a tunelagem SOCKS5 para se comunicar com o servidor de comando e controle (C2).
Os pesquisadores explicam que a UNC4466 usou transferências BITS para baixar ferramentas de tunelagem SOCKS5 e implantou o payload de ransomware adicionando tarefas imediatas à política de domínio padrão, desativando o software de segurança e executando o criptografador.
Para escalar privilégios, a UNC4466 utiliza Mimikatz, LaZagne e Nanodump para roubar credenciais de usuário válidas.
Por fim, o ator da ameaça evita a detecção limpando os registros de eventos e desativando a capacidade de monitoramento em tempo real do Microsoft Defender.
O relatório da Mandiant fornece orientações que os defensores podem seguir para detectar ataques da UNC4466 em tempo hábil e mitigá-los antes que a payload do ALPHV seja executada em seus sistemas.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...