Los actores de amenazas están intentando activamente explotar una falla de seguridad ahora parcheada en Veeam Backup & Replication para implementar el ransomware Akira y Fog.
El proveedor de ciberseguridad Sophos dijo que ha estado rastreando una serie de ataques durante el último mes aprovechando credenciales VPN comprometidas y CVE-2024-40711 para crear una cuenta local e implementar el ransomware.
CVE-2024-40711, con una calificación de 9,8 sobre 10,0 en la escala CVSS, se refiere a una vulnerabilidad crítica que permite la ejecución remota de código no autenticado. Veeam lo solucionó en la versión 12.2 de Backup & Replication a principios de septiembre de 2024.
El investigador de seguridad Florian Hauser de CODE WHITE, con sede en Alemania, ha sido acreditado con el descubrimiento y notificación de deficiencias de seguridad.
“En cada uno de los casos, los atacantes accedieron inicialmente a los objetivos utilizando puertas de enlace VPN comprometidas sin la autenticación multifactor habilitada”, Sophos dicho. “Algunas de estas VPN ejecutaban versiones de software no compatibles”.
“Cada vez, los atacantes explotaron VEEAM en el URI /trigger en el puerto 8000, activando Veeam.Backup.MountService.exe para generar net.exe. El exploit crea una cuenta local, ‘punto’, agregándola a los administradores locales y Grupos de usuarios de escritorio remoto”.
En el ataque que condujo a la implementación del ransomware Fog, se dice que los actores de la amenaza arrojaron el ransomware a un servidor Hyper-V desprotegido, mientras usaban la utilidad rclone para filtrar datos. Las otras implementaciones de ransomware no tuvieron éxito.
La explotación activa de CVE-2024-40711 ha incitado un aviso del NHS de Inglaterra, que señalaba que “las aplicaciones empresariales de copia de seguridad y recuperación ante desastres son objetivos valiosos para los grupos de amenazas cibernéticas”.
La divulgación se produce cuando la Unidad 42 de Palo Alto Networks detalló un sucesor del ransomware INC llamado Lynx que ha estado activo desde julio de 2024, dirigido a organizaciones de los sectores minorista, inmobiliario, de arquitectura, financiero y de servicios ambientales en los EE. UU. y el Reino Unido.
Se dice que la aparición de Lynx fue impulsada por la venta del código fuente del ransomware INC en el mercado clandestino criminal ya en marzo de 2024, lo que llevó a los autores de malware a reempaquetar el casillero y generar nuevas variantes.
“Lynx ransomware comparte una parte importante de su código fuente con INC ransomware”, Unidad 42 dicho. “El ransomware INC apareció inicialmente en agosto de 2023 y tenía variantes compatibles tanto con Windows como con Linux”.
También sigue un aviso del Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) del Departamento de Salud y Servicios Humanos de EE. UU. (HHS) de que al menos una entidad de atención médica en el país ha sido víctima de ransomware trinidadotro reproductor de ransomware relativamente nuevo que se dio a conocer por primera vez en mayo de 2024 y se cree que es un cambio de nombre de 2023Lock y Venus ransomware.
“Es un tipo de software malicioso que se infiltra en los sistemas a través de varios vectores de ataque, incluidos correos electrónicos de phishing, sitios web maliciosos y explotación de vulnerabilidades de software”, HC3 dicho. “Una vez dentro del sistema, el ransomware Trinity emplea una estrategia de doble extorsión para atacar a sus víctimas”.
También se han observado ataques cibernéticos que entregan una variante del ransomware MedusaLocker denominada BabyLockerKZ por parte de un actor de amenazas con motivación financiera que se sabe que está activo desde octubre de 2022, con objetivos ubicados principalmente en los países de la UE y América del Sur.
“Este atacante utiliza varias herramientas de ataque conocidas públicamente y binarios que viven fuera de la tierra (LoLBins), un conjunto de herramientas creadas por el mismo desarrollador (posiblemente el atacante) para ayudar en el robo de credenciales y el movimiento lateral en organizaciones comprometidas”, Talos investigadores dicho.
“Estas herramientas son en su mayoría envoltorios de herramientas disponibles públicamente que incluyen funcionalidad adicional para agilizar el proceso de ataque y proporcionar interfaces gráficas o de línea de comandos”.