Cibercriminosos por trás dos ransomwares Akira e Fog agora exploram uma vulnerabilidade crítica de segurança que permite que invasores obtenham execução remota de código (RCE) em servidores Veeam Backup & Replication (VBR) vulneráveis.
Ransomwares Akira e Fog explorando falha crítica no Veeam
O pesquisador de segurança do Code White, Florian Hauser, descobriu que a falha de segurança, agora rastreada como CVE-2024-40711, é causada por uma desserialização de fraqueza de dados não confiáveis que agentes de ameaças não autenticados podem explorar em ataques de baixa complexidade.
A Veeam divulgou a vulnerabilidade e lançou atualizações de segurança em 4 de setembro, enquanto o watchTowr Labs publicou uma análise técnica em 9 de setembro.
No entanto, o watchTowr Labs atrasou a publicação do código de exploração de prova de conceito até 15 de setembro para dar aos administradores tempo suficiente para proteger seus servidores. O atraso foi motivado por empresas que usam o software VBR da Veeam como uma solução de proteção de dados e recuperação de desastres para fazer backup, restaurar e replicar máquinas virtuais, físicas e na nuvem.
Isso o torna um alvo muito popular para agentes mal-intencionados que buscam acesso rápido aos dados de backup de uma empresa. Como os socorristas do Sophos X-Ops descobriram no mês passado (Via: Bleeping Computer), a falha CVE-2024-40711 RCE foi rapidamente detectada e explorada em ataques de ransomware Akira e Fog, juntamente com credenciais previamente comprometidas para adicionar uma conta local “de ponto” aos grupos locais de Administradores e Usuários de Área de Trabalho Remota.
O que diz a Sophos
Em um caso, os invasores lançaram o ransomware Fog. Outro ataque no mesmo período tentou implantar o ransomware Akira. Os indicadores em todos os 4 casos se sobrepõem aos ataques anteriores de ransomware Akira e Fog.
Notícias Relacionadas
Em cada um dos casos, os invasores acessaram inicialmente os alvos usando gateways VPN comprometidos sem autenticação multifator habilitada. Algumas dessas VPNs estavam executando versões de software sem suporte.
No incidente do ransomware Fog, o invasor o implantou em um servidor Hyper-V desprotegido e então usou o utilitário rclone para exfiltrar dados.
Mais falhas do Veeam
Não é a primeira falha do Veeam alvo de ataques de ransomware. O Bleeping Computer lembra que, no ano passado, em 7 de março de 2023, a Veeam também corrigiu uma vulnerabilidade de alta gravidade no software Backup & Replication (CVE-2023-27532) que pode ser explorada para violar hosts de infraestrutura de backup.
Semanas depois, no final de março, a empresa finlandesa de segurança cibernética e privacidade WithSecure detectou exploits CVE-2023-27532 implantados em ataques vinculados ao grupo de ameaças FIN7, com motivação financeira, conhecido por seus vínculos com as operações de ransomware Conti, REvil, Maze, Egregor e BlackBasta. Meses depois, o mesmo exploit Veeam VBR foi usado em ataques de ransomware em Cuba contra infraestrutura crítica dos EUA e empresas de TI da América Latina.
A Veeam afirma que seus produtos são usados por mais de 550.000 clientes no mundo todo, incluindo pelo menos 74% de todas as empresas do Global 2.000.
Via: Bleeping Computer
