Tehdit aktörleri, Akira ve Fog fidye yazılımını dağıtmak için Veeam Backup & Replication’daki yamalanmış bir güvenlik açığından aktif olarak yararlanmaya çalışıyor.
Siber güvenlik tedarikçisi Sophos, geçtiğimiz ay yerel bir hesap oluşturmak ve fidye yazılımını dağıtmak için ele geçirilen VPN kimlik bilgilerinden ve CVE-2024-40711’den yararlanan bir dizi saldırıyı takip ettiğini söyledi.
CVSS ölçeğinde 10,0 üzerinden 9,8 olarak derecelendirilen CVE-2024-40711, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığını ifade eder. Bu sorun Veeam tarafından Eylül 2024’ün başlarında Backup & Replication sürüm 12.2’de giderildi.
Almanya merkezli CODE WHITE’tan güvenlik araştırmacısı Florian Hauser, kredilendirildi Güvenlik eksikliklerinin keşfedilmesi ve raporlanmasıyla.
Sophos, “Bu vakaların her birinde, saldırganlar başlangıçta çok faktörlü kimlik doğrulamayı etkinleştirmeden güvenliği ihlal edilmiş VPN ağ geçitlerini kullanarak hedeflere erişti.” söz konusu. “Bu VPN’lerden bazıları desteklenmeyen yazılım sürümlerini çalıştırıyordu.”
“Saldırganlar her seferinde 8000 numaralı bağlantı noktasındaki URI /trigger üzerinde VEEAM’den yararlanarak Veeam.Backup.MountService.exe dosyasının net.exe’yi oluşturmasını tetikledi. Bu istismar yerel bir ‘point’ hesabı oluşturarak onu yerel Yöneticilere ekler ve Uzak Masaüstü Kullanıcıları grupları.”
Fog fidye yazılımının konuşlandırılmasına yol açan saldırıda, tehdit aktörlerinin veri sızdırmak için rclone yardımcı programını kullanırken fidye yazılımını korumasız bir Hyper-V sunucusuna bıraktıkları söyleniyor. Diğer fidye yazılımı dağıtımları başarısız oldu.
CVE-2024-40711’in aktif kullanımı istendi NHS İngiltere’den “kurumsal yedekleme ve felaket kurtarma uygulamalarının siber tehdit grupları için değerli hedefler olduğunu” belirten bir tavsiye yazısı.
Açıklama, Palo Alto Networks Birim 42’nin, Temmuz 2024’ten bu yana aktif olan ve ABD ve İngiltere’deki perakende, emlak, mimari, finans ve çevre hizmetleri sektörlerindeki kuruluşları hedef alan Lynx adlı INC fidye yazılımının halefi hakkında ayrıntılı bilgi vermesiyle geldi.
Lynx’in ortaya çıkışının, INC fidye yazılımının kaynak kodunun Mart 2024 gibi erken bir tarihte yer altı suç piyasasında satılmasıyla teşvik edildiği ve kötü amaçlı yazılım yazarlarının dolabı yeniden paketlemesine ve yeni varyantlar üretmesine yol açtığı söyleniyor.
“Lynx fidye yazılımı, kaynak kodunun önemli bir bölümünü INC fidye yazılımıyla paylaşıyor,” Birim 42 söz konusu. “INC fidye yazılımı ilk olarak Ağustos 2023’te ortaya çıktı ve hem Windows hem de Linux ile uyumlu varyantları vardı.”
Bu aynı zamanda ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın (HHS) Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nin (HC3) ülkedeki en az bir sağlık kuruluşunun kurbanı olduğu yönündeki tavsiye kararının ardından geldi. Trinity fidye yazılımıilk olarak Mayıs 2024’te tanınan ve 2023Lock ve Venus fidye yazılımının yeniden markası olduğuna inanılan, nispeten yeni bir fidye yazılımı oynatıcısı.
HC3, “Bu, kimlik avı e-postaları, kötü amaçlı web siteleri ve yazılım açıklarından yararlanma da dahil olmak üzere çeşitli saldırı vektörleri yoluyla sistemlere sızan bir tür kötü amaçlı yazılımdır.” söz konusu. “Sisteme girdikten sonra Trinity fidye yazılımı kurbanlarını hedef almak için çifte gasp stratejisi kullanıyor.”
Siber saldırıların, Ekim 2022’den bu yana aktif olduğu bilinen mali motivasyonlu bir tehdit aktörü tarafından BabyLockerKZ olarak adlandırılan bir MedusaLocker fidye yazılımı çeşidini sağladığı ve hedeflerin öncelikle AB ülkeleri ve Güney Amerika’da olduğu da gözlemlendi.
Talos, “Bu saldırgan, herkesçe bilinen çeşitli saldırı araçlarını ve arazide yaşayan ikili dosyaları (LoLBins) kullanıyor; bu araçlar, aynı geliştirici (muhtemelen saldırgan) tarafından, güvenliği ihlal edilmiş kuruluşlarda kimlik bilgileri hırsızlığına ve yanal harekete yardımcı olmak için oluşturulmuş bir dizi araç.” araştırmacılar söz konusu.
“Bu araçlar çoğunlukla, saldırı sürecini kolaylaştırmak ve grafiksel veya komut satırı arayüzleri sağlamak için ek işlevler içeren, halka açık araçların etrafındaki sarmalayıcılardır.”