Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nuevo grupo de ransomware que explota la vulnerabilidad del software Veeam Backup
  • Tecnología

Nuevo grupo de ransomware que explota la vulnerabilidad del software Veeam Backup

teknomers 10 de Temmuz de 2024 (Last updated: 10 de Temmuz de 2024) 4 minutes read
Nuevo grupo de ransomware que explota la vulnerabilidad del software


10 de julio de 2024Sala de prensaViolación de datos / Malware

Una falla de seguridad ahora parcheada en el software Veeam Backup & Replication está siendo explotada por una operación de ransomware naciente conocida como EstateRansomware.

Group-IB, con sede en Singapur, que descubrió al actor de amenazas a principios de abril de 2024, dijo que el modus operandi implicaba la explotación de CVE-2023-27532 (puntaje CVSS: 7,5) para llevar a cabo actividades maliciosas.

Se dice que el acceso inicial al entorno de destino se facilitó mediante un dispositivo VPN SSL de firewall Fortinet FortiGate utilizando una cuenta inactiva.

“El actor de amenazas giró lateralmente desde el firewall FortiGate a través del servicio VPN SSL para acceder al servidor de conmutación por error”, dijo el investigador de seguridad Yeo Zi Wei. dicho en un análisis publicado hoy.

La seguridad cibernética

“Antes del ataque de ransomware, se detectaron intentos de ataque de fuerza bruta a VPN en abril de 2024 utilizando una cuenta inactiva identificada como ‘Acc1’. Varios días después, se rastreó un inicio de sesión exitoso de VPN utilizando ‘Acc1’ hasta la dirección IP remota 149.28.106[.]252.”

A continuación, los actores de la amenaza procedieron a establecer conexiones RDP desde el firewall al servidor de conmutación por error, seguido de la implementación de una puerta trasera persistente llamada “svchost.exe” que se ejecuta diariamente a través de una tarea programada.

El acceso posterior a la red se logró mediante la puerta trasera para evadir la detección. La responsabilidad principal de la puerta trasera es conectarse a un servidor de comando y control (C2) a través de HTTP y ejecutar comandos arbitrarios emitidos por el atacante.

Group-IB dijo que observó al actor explotando la falla CVE-2023-27532 de Veeam con el objetivo de habilitar xp_cmdshell en el servidor de respaldo y crear una cuenta de usuario fraudulenta llamada “VeeamBkp”, además de realizar actividades de descubrimiento de red, enumeración y recolección de credenciales utilizando herramientas como NetScan, AdFind y NitSoft utilizando la cuenta recién creada.

“Esta explotación potencialmente involucró un ataque originado desde la carpeta VeeamHax en el servidor de archivos contra la versión vulnerable del software Veeam Backup & Replication instalado en el servidor de backup”, planteó Zi Wei.

“Esta actividad facilitó la activación del procedimiento almacenado xp_cmdshell y la posterior creación de la cuenta ‘VeeamBkp'”.

Grupo de ransomware

El ataque culminó con la implementación del ransomware, pero no antes de tomar medidas para debilitar las defensas y moverse lateralmente desde el servidor AD a todos los demás servidores y estaciones de trabajo que utilizan cuentas de dominio comprometidas.

“Windows Defender se deshabilitó permanentemente mediante DC.exe [Defender Control]seguido de la implementación y ejecución de ransomware con PsExec.exe“, dijo el Grupo-IB.

La seguridad cibernética

La revelación se produce luego de que Cisco Talos reveló que la mayoría de las bandas de ransomware priorizan el establecimiento de acceso inicial utilizando fallas de seguridad en aplicaciones públicas, archivos adjuntos de phishing o vulnerando cuentas válidas y eludiendo las defensas en sus cadenas de ataque.

El modelo de doble extorsión de exfiltrar datos antes de cifrar los archivos ha dado lugar a herramientas personalizadas desarrolladas por los actores (por ejemplo, Exmatter, Exbyte y StealBit) para enviar la información confidencial a una infraestructura controlada por el adversario.

Esto requiere que estos grupos de delitos electrónicos establezcan acceso a largo plazo para explorar el entorno con el fin de comprender la estructura de la red, localizar recursos que puedan respaldar el ataque, elevar sus privilegios o permitirles integrarse e identificar datos valiosos que puedan ser robados.

“Durante el último año, hemos sido testigos de cambios importantes en el espacio del ransomware con el surgimiento de múltiples grupos nuevos de ransomware, cada uno con objetivos, estructuras operativas y victimología únicos”, dijo Talos. dicho.

“La diversificación pone de relieve un cambio hacia actividades cibercriminales más específicas, ya que grupos como Hunters International, Cactus y Akira crean nichos específicos, centrándose en objetivos operativos y elecciones estilísticas distintos para diferenciarse”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Así se encuentra Brad Pitt con sus seis hijos y los de Angelina Jolie
Next: El estilo protector de calvo trenzado imita el cabello corto

Related Stories

Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida
  • Tecnología

Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida durante más de diez años

teknomers 16 de Temmuz de 2026
Galaxy S26 Ultra: usuarios reportan un preocupante defecto de pantalla
  • Tecnología

Galaxy S26 Ultra: usuarios reportan un preocupante defecto de pantalla

teknomers 16 de Temmuz de 2026
Rebajas de verano 2026: última oportunidad en Amazon, Fnac y
  • Tecnología

Rebajas de verano 2026: última oportunidad en Amazon, Fnac y Boulanger

teknomers 16 de Temmuz de 2026

You May Have Missed

  • General

Inundaciones en Texas aumentan por intensas tormentas de lluvia mientras rescatistas sacan a personas de las aguas crecientes

teknomers 16 de Temmuz de 2026
  • Deporte

Gran Premio de Bélgica: Red Bull vuelve al alerón trasero convencional tras el accidente de Max Verstappen

teknomers 16 de Temmuz de 2026
  • General

Estados Unidos investiga a Samsung por presunta infracción de las patentes de chips de memoria de Netlist

teknomers 16 de Temmuz de 2026
  • Finanzas

Rakuten: el sitio de venta en línea en Francia cerrará a finales de 2026

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.