Una falla de seguridad ahora parcheada en el software Veeam Backup & Replication está siendo explotada por una operación de ransomware naciente conocida como EstateRansomware.
Group-IB, con sede en Singapur, que descubrió al actor de amenazas a principios de abril de 2024, dijo que el modus operandi implicaba la explotación de CVE-2023-27532 (puntaje CVSS: 7,5) para llevar a cabo actividades maliciosas.
Se dice que el acceso inicial al entorno de destino se facilitó mediante un dispositivo VPN SSL de firewall Fortinet FortiGate utilizando una cuenta inactiva.
«El actor de amenazas giró lateralmente desde el firewall FortiGate a través del servicio VPN SSL para acceder al servidor de conmutación por error», dijo el investigador de seguridad Yeo Zi Wei. dicho en un análisis publicado hoy.
«Antes del ataque de ransomware, se detectaron intentos de ataque de fuerza bruta a VPN en abril de 2024 utilizando una cuenta inactiva identificada como ‘Acc1’. Varios días después, se rastreó un inicio de sesión exitoso de VPN utilizando ‘Acc1’ hasta la dirección IP remota 149.28.106[.]252.»
A continuación, los actores de la amenaza procedieron a establecer conexiones RDP desde el firewall al servidor de conmutación por error, seguido de la implementación de una puerta trasera persistente llamada «svchost.exe» que se ejecuta diariamente a través de una tarea programada.
El acceso posterior a la red se logró mediante la puerta trasera para evadir la detección. La responsabilidad principal de la puerta trasera es conectarse a un servidor de comando y control (C2) a través de HTTP y ejecutar comandos arbitrarios emitidos por el atacante.
Group-IB dijo que observó al actor explotando la falla CVE-2023-27532 de Veeam con el objetivo de habilitar xp_cmdshell en el servidor de respaldo y crear una cuenta de usuario fraudulenta llamada «VeeamBkp», además de realizar actividades de descubrimiento de red, enumeración y recolección de credenciales utilizando herramientas como NetScan, AdFind y NitSoft utilizando la cuenta recién creada.
«Esta explotación potencialmente involucró un ataque originado desde la carpeta VeeamHax en el servidor de archivos contra la versión vulnerable del software Veeam Backup & Replication instalado en el servidor de backup», planteó Zi Wei.
«Esta actividad facilitó la activación del procedimiento almacenado xp_cmdshell y la posterior creación de la cuenta ‘VeeamBkp'».
El ataque culminó con la implementación del ransomware, pero no antes de tomar medidas para debilitar las defensas y moverse lateralmente desde el servidor AD a todos los demás servidores y estaciones de trabajo que utilizan cuentas de dominio comprometidas.
«Windows Defender se deshabilitó permanentemente mediante DC.exe [Defender Control]seguido de la implementación y ejecución de ransomware con PsExec.exe«, dijo el Grupo-IB.
La revelación se produce luego de que Cisco Talos reveló que la mayoría de las bandas de ransomware priorizan el establecimiento de acceso inicial utilizando fallas de seguridad en aplicaciones públicas, archivos adjuntos de phishing o vulnerando cuentas válidas y eludiendo las defensas en sus cadenas de ataque.
El modelo de doble extorsión de exfiltrar datos antes de cifrar los archivos ha dado lugar a herramientas personalizadas desarrolladas por los actores (por ejemplo, Exmatter, Exbyte y StealBit) para enviar la información confidencial a una infraestructura controlada por el adversario.
Esto requiere que estos grupos de delitos electrónicos establezcan acceso a largo plazo para explorar el entorno con el fin de comprender la estructura de la red, localizar recursos que puedan respaldar el ataque, elevar sus privilegios o permitirles integrarse e identificar datos valiosos que puedan ser robados.
«Durante el último año, hemos sido testigos de cambios importantes en el espacio del ransomware con el surgimiento de múltiples grupos nuevos de ransomware, cada uno con objetivos, estructuras operativas y victimología únicos», dijo Talos. dicho.
«La diversificación pone de relieve un cambio hacia actividades cibercriminales más específicas, ya que grupos como Hunters International, Cactus y Akira crean nichos específicos, centrándose en objetivos operativos y elecciones estilísticas distintos para diferenciarse».