Ransomware ALPHV explora falhas no Veritas Backup Exec para obter acesso inicial
5 de Abril de 2023

Um afiliado do ransomware ALPHV/BlackCat foi observado explorando três vulnerabilidades que afetam o produto Veritas Backup para obter acesso inicial à rede alvo.

A operação de ransomware ALPHV surgiu em dezembro de 2021 e é considerada como sendo conduzida por antigos membros dos programas Darkside e Blackmatter, que encerraram abruptamente para escapar da pressão das autoridades.

A Mandiant rastreia o afiliado ALPHV como 'UNC4466' e observa que o método é uma variação da intrusão típica, que depende de credenciais roubadas.

A Mandiant relata que observou os primeiros casos de exploração das falhas do Veritas na natureza em 22 de outubro de 2022.

As falhas de alta gravidade visadas pela UNC4466 são:

As três falhas afetam o software Veritas Backup.

O fornecedor as divulgou em março de 2021 e lançou uma correção com a versão 21.2.

No entanto, apesar de mais de dois anos terem se passado desde então, muitos endpoints ainda permanecem vulneráveis, pois não atualizaram para uma versão segura.

A Mandiant diz que um serviço comercial de varredura mostrou que existem na web pública mais de 8.500 endereços IP que anunciam o serviço "Symantec/Veritas Backup Exec ndmp" na porta padrão 10000 e nas portas 9000 e 10001.

Um módulo Metasploit para explorar essas vulnerabilidades foi lançado ao público em 23 de setembro de 2022.

O código permite que os atacantes criem uma sessão e interajam com os endpoints violados.

De acordo com a Mandiant, a UNC4466 começou a usar o módulo específico um mês após ele se tornar disponível.

Conforme as observações da Mandiant, a UNC4466 compromete um servidor Windows exposto na Internet que executa o Veritas Backup Exec, usando o módulo Metasploit publicamente disponível e mantém acesso persistente ao host.

Após a violação inicial, o ator da ameaça usou as utilidades Advanced IP Scanner e ADRecon para coletar informações sobre o ambiente da vítima.

Em seguida, eles baixaram ferramentas adicionais no host, como LAZAGNE, LIGOLO, WINSW, RCLONE e, finalmente, o criptografador de ransomware ALPHV por meio do Serviço de Transferência Inteligente em Segundo Plano (BITS).

O ator da ameaça usou a tunelagem SOCKS5 para se comunicar com o servidor de comando e controle (C2).

Os pesquisadores explicam que a UNC4466 usou transferências BITS para baixar ferramentas de tunelagem SOCKS5 e implantou o payload de ransomware adicionando tarefas imediatas à política de domínio padrão, desativando o software de segurança e executando o criptografador.

Para escalar privilégios, a UNC4466 utiliza Mimikatz, LaZagne e Nanodump para roubar credenciais de usuário válidas.

Por fim, o ator da ameaça evita a detecção limpando os registros de eventos e desativando a capacidade de monitoramento em tempo real do Microsoft Defender.

O relatório da Mandiant fornece orientações que os defensores podem seguir para detectar ataques da UNC4466 em tempo hábil e mitigá-los antes que a payload do ALPHV seja executada em seus sistemas.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...