Os agentes de ameaças estão tentando ativamente explorar uma falha de segurança agora corrigida no Veeam Backup & Replication para implantar os ransomware Akira e Fog.
O fornecedor de segurança cibernética Sophos disse que tem rastreado uma série de ataques no mês passado, aproveitando credenciais VPN comprometidas e CVE-2024-40711 para criar uma conta native e implantar o ransomware.
CVE-2024-40711, classificado como 9,8 de 10,0 na escala CVSS, refere-se a uma vulnerabilidade crítica que permite a execução remota de código não autenticado. O problema foi resolvido pela Veeam no Backup & Replication versão 12.2 no início de setembro de 2024.
O pesquisador de segurança Florian Hauser, da CODE WHITE, com sede na Alemanha, recebeu o crédito por descobrir e relatar falhas de segurança.
“Em cada um dos casos, os invasores acessaram inicialmente os alvos usando gateways VPN comprometidos sem autenticação multifator habilitada”, disse Sophos. “Algumas dessas VPNs executavam versões de software program não suportadas.”
“Cada vez, os invasores exploraram o VEEAM no URI /set off na porta 8000, acionando o Veeam.Backup.MountService.exe para gerar web.exe. A exploração cria uma conta native, 'ponto', adicionando-a aos administradores locais e Grupos de usuários de área de trabalho remota.”
No ataque que levou à implantação do ransomware Fog, os agentes da ameaça teriam descartado o ransomware em um servidor Hyper-V desprotegido, enquanto usavam o utilitário rclone para exfiltrar dados. As outras implantações de ransomware não tiveram êxito.
A exploração ativa do CVE-2024-40711 gerou um comunicado do NHS England, que observou que “aplicativos empresariais de backup e recuperação de desastres são alvos valiosos para grupos de ameaças cibernéticas”.
A divulgação ocorre no momento em que a Unidade 42 da Palo Alto Networks detalha um sucessor do ransomware INC chamado Lynx, que está ativo desde julho de 2024, visando organizações nos setores de varejo, imobiliário, arquitetura, financeiro e de serviços ambientais nos EUA e no Reino Unido.
Diz-se que o surgimento do Lynx foi estimulado pela venda do código-fonte do ransomware INC no mercado criminoso subterrâneo já em março de 2024, levando os autores de malware a reembalar o armário e gerar novas variantes.
“O ransomware Lynx compartilha uma parte significativa de seu código-fonte com o ransomware INC”, disse a Unidade 42. “O ransomware INC surgiu inicialmente em agosto de 2023 e tinha variantes compatíveis com Home windows e Linux.”
Também segue um comunicado do Centro de Coordenação de Cibersegurança do Setor de Saúde (HC3) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA de que pelo menos uma entidade de saúde no país foi vítima do ransomware Trinity, outro participant de ransomware relativamente novo que se tornou conhecido pela primeira vez. em maio de 2024 e acredita-se que seja uma reformulação da marca 2023Lock e Venus ransomware.
“É um tipo de software program malicioso que se infiltra nos sistemas através de vários vetores de ataque, incluindo e-mails de phishing, websites maliciosos e exploração de vulnerabilidades de software program”, disse HC3. “Uma vez dentro do sistema, o ransomware Trinity emprega uma estratégia de dupla extorsão para atingir suas vítimas.”
Ataques cibernéticos também foram observados entregando uma variante do ransomware MedusaLocker chamada BabyLockerKZ por um ator de ameaça com motivação financeira conhecido por estar ativo desde outubro de 2022, com alvos localizados principalmente nos países da UE e na América do Sul.
“Este invasor usa várias ferramentas de ataque conhecidas publicamente e binários vivendo fora da terra (LoLBins), um conjunto de ferramentas construídas pelo mesmo desenvolvedor (possivelmente o invasor) para auxiliar no roubo de credenciais e movimentação lateral em organizações comprometidas”, Talos disseram os pesquisadores.
“Essas ferramentas são, em sua maioria, wrappers em torno de ferramentas disponíveis publicamente que incluem funcionalidades adicionais para agilizar o processo de ataque e fornecer interfaces gráficas ou de linha de comando.”
