Table of Contents
Vulnerabilidade Crítica no Veeam Backup & Replication: Um Novo Cenário de Ransomware
A recente exploração de uma falha de segurança crítica no Veeam Backup & Replication tem gerado preocupações significativas na área de cibersegurança. Os threat actors estão utilizando essa vulnerabilidade agora corrigida para implantar ransomwares, como Akira e Fog.
Cenário Atual e Impacto da Vulnerabilidade
De acordo com a empresa de cibersegurança Sophos, uma série de ataques foi monitorada no último mês, aproveitando credenciais de VPN comprometidas e a falha CVE-2024-40711. Essa vulnerabilidade, classificada como 9.8 em uma escala que vai até 10 no CVSS, possibilita a execução remota de código não autenticado.
A CVE-2024-40711 foi corrigida pelo Veeam na versão 12.2 do Backup & Replication, lançada em setembro de 2024.
Detalhes da Exploração
Os pesquisadores de segurança observaram que os atacantes acessaram as vítimas inicialmente através de gateways VPN comprometidos, sem a autenticação multifator habilitada. Alguns desses VPNs estavam operando com versões de software não suportadas.
Os atacantes exploraram o Veeam ao acessar o URI /trigger na porta 8000, o que fazia com que o Veeam.Backup.MountService.exe ativasse o net.exe, criando uma conta local chamada “point”, a qual foi adicionada aos grupos de Administradores Locais e Usuários do Remote Desktop.
Implantações e Consequências do Ransomware
Durante um dos ataques, os threat actors deixaram o ransomware Fog em um servidor Hyper-V desprotegido, utilizando a ferramenta rclone para exfiltrar dados. Outras implantações de ransomware foram mal sucedidas.
Reação de Entidades e Novas Ameaças
A exploração ativa da CVE-2024-40711 levou a um alerta da NHS England, enfatizando que aplicativos de backup e recuperação de desastres empresariais são alvos valiosos para grupos de cyber threat.
Enquanto isso, a Palo Alto Networks, através da Unit 42, detalhou um sucessor do ransomware INC chamado Lynx, que está ativo desde julho de 2024 e tem como alvos organizações em setores como varejo e serviços ambientais nos EUA e no Reino Unido.
Desdobramentos Recentes da Ameaça de Ransomware
A venda do código-fonte do ransomware INC no mercado underground criminoso em março de 2024 provocou uma onda de novos variantes, incluindo o Lynx, que compartilha uma porção significativa de seu código-fonte com o ransomware original.
A Unit 42 afirmou que o ransomware INC surgiu em agosto de 2023 e tinha variantes compatíveis com Windows e Linux.
Além disso, o Departamento de Saúde e Serviços Humanos dos EUA (HHS) alertou que pelo menos uma entidade de saúde foi vítima do ransomware Trinity, revelado em maio de 2024, que se acredita ser uma rebranding do 2023Lock e do Venus ransomware.
Atividades Cibernéticas e Seus Vetores de Incursão
A Trinity emprega uma estratégia de dupla extorsão para atingir suas vítimas, e suas invasões são facilitadas através de variados vetores de ataque, tais como:
- Emails de phishing
- Sites maliciosos
- Exploração de vulnerabilidades de software
Por fim, também foram observados ataques levando uma variante do ransomware MedusaLocker, denominada BabyLockerKZ, ativa desde outubro de 2022, com predominância de alvos na Europa e América do Sul.
Pesquisadores da Talos relataram que esses atacantes utilizam ferramentas de ataque públicas e binários living-off-the-land (LoLBins) para auxiliar na extração de credenciais e movimentação lateral dentro de organizações comprometidas.
A crescente vulnerabilidade e a complexidade dos ataques de ransomware exigem uma atenção constante e inovação nas estratégias de defesa cibernética para combater essas ameaças em evolução.
#Veeam, #Cibersegurança, #Ransomware, #Vulnerabilidades, #CVE202440711, #AtaquesCibernéticos, #Backup, #Replicação, #SegurançaDigital, #ThreatActors
Fonte:https://thehackernews.com/2024/10/critical-veeam-vulnerability-exploited.html