{"id":1271107,"date":"2024-07-10T16:16:09","date_gmt":"2024-07-10T16:16:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-grupo-de-ransomware-que-explota-la-vulnerabilidad-del-software-veeam-backup\/"},"modified":"2024-07-10T16:16:14","modified_gmt":"2024-07-10T16:16:14","slug":"nuevo-grupo-de-ransomware-que-explota-la-vulnerabilidad-del-software-veeam-backup","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-grupo-de-ransomware-que-explota-la-vulnerabilidad-del-software-veeam-backup\/","title":{"rendered":"Nuevo grupo de ransomware que explota la vulnerabilidad del software Veeam Backup"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Violaci\u00f3n de datos \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Nuevo-grupo-de-ransomware-que-explota-la-vulnerabilidad-del-software.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una falla de seguridad ahora parcheada en el software Veeam Backup &#038; Replication est\u00e1 siendo explotada por una operaci\u00f3n de ransomware naciente conocida como EstateRansomware.<\/p>\n<p>Group-IB, con sede en Singapur, que descubri\u00f3 al actor de amenazas a principios de abril de 2024, dijo que el modus operandi implicaba la explotaci\u00f3n de CVE-2023-27532 (puntaje CVSS: 7,5) para llevar a cabo actividades maliciosas.<\/p>\n<p>Se dice que el acceso inicial al entorno de destino se facilit\u00f3 mediante un dispositivo VPN SSL de firewall Fortinet FortiGate utilizando una cuenta inactiva.<\/p>\n<p>&#8220;El actor de amenazas gir\u00f3 lateralmente desde el firewall FortiGate a trav\u00e9s del servicio VPN SSL para acceder al servidor de conmutaci\u00f3n por error&#8221;, dijo el investigador de seguridad Yeo Zi Wei. <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/estate-ransomware\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Antes del ataque de ransomware, se detectaron intentos de ataque de fuerza bruta a VPN en abril de 2024 utilizando una cuenta inactiva identificada como &#8216;Acc1&#8217;. Varios d\u00edas despu\u00e9s, se rastre\u00f3 un inicio de sesi\u00f3n exitoso de VPN utilizando &#8216;Acc1&#8217; hasta la direcci\u00f3n IP remota 149.28.106[.]252.&#8221;<\/p>\n<p>A continuaci\u00f3n, los actores de la amenaza procedieron a establecer conexiones RDP desde el firewall al servidor de conmutaci\u00f3n por error, seguido de la implementaci\u00f3n de una puerta trasera persistente llamada &#8220;svchost.exe&#8221; que se ejecuta diariamente a trav\u00e9s de una tarea programada.<\/p>\n<p>El acceso posterior a la red se logr\u00f3 mediante la puerta trasera para evadir la detecci\u00f3n. La responsabilidad principal de la puerta trasera es conectarse a un servidor de comando y control (C2) a trav\u00e9s de HTTP y ejecutar comandos arbitrarios emitidos por el atacante.<\/p>\n<p>Group-IB dijo que observ\u00f3 al actor explotando la falla CVE-2023-27532 de Veeam con el objetivo de habilitar xp_cmdshell en el servidor de respaldo y crear una cuenta de usuario fraudulenta llamada &#8220;VeeamBkp&#8221;, adem\u00e1s de realizar actividades de descubrimiento de red, enumeraci\u00f3n y recolecci\u00f3n de credenciales utilizando herramientas como NetScan, AdFind y NitSoft utilizando la cuenta reci\u00e9n creada.<\/p>\n<p>&#8220;Esta explotaci\u00f3n potencialmente involucr\u00f3 un ataque originado desde la carpeta VeeamHax en el servidor de archivos contra la versi\u00f3n vulnerable del software Veeam Backup &#038; Replication instalado en el servidor de backup&#8221;, plante\u00f3 Zi Wei.<\/p>\n<p>&#8220;Esta actividad facilit\u00f3 la activaci\u00f3n del procedimiento almacenado xp_cmdshell y la posterior creaci\u00f3n de la cuenta &#8216;VeeamBkp'&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Nuevo-grupo-de-ransomware-que-explota-la-vulnerabilidad-del-software.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Nuevo-grupo-de-ransomware-que-explota-la-vulnerabilidad-del-software.jpg\" alt=\"Grupo de ransomware\" border=\"0\" data-original-height=\"636\" data-original-width=\"1600\" title=\"Grupo de ransomware\"\/><\/a><\/div>\n<p>El ataque culmin\u00f3 con la implementaci\u00f3n del ransomware, pero no antes de tomar medidas para debilitar las defensas y moverse lateralmente desde el servidor AD a todos los dem\u00e1s servidores y estaciones de trabajo que utilizan cuentas de dominio comprometidas.<\/p>\n<p>&#8220;Windows Defender se deshabilit\u00f3 permanentemente mediante DC.exe [Defender Control]seguido de la implementaci\u00f3n y ejecuci\u00f3n de ransomware con <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/psexec\" target=\"_blank\">PsExec.exe<\/a>&#8220;, dijo el Grupo-IB.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Apple-elimina-aplicaciones-VPN-de-la-App-Store-rusa-ante.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La revelaci\u00f3n se produce luego de que Cisco Talos revel\u00f3 que la mayor\u00eda de las bandas de ransomware priorizan el establecimiento de acceso inicial utilizando fallas de seguridad en aplicaciones p\u00fablicas, archivos adjuntos de phishing o vulnerando cuentas v\u00e1lidas y eludiendo las defensas en sus cadenas de ataque.<\/p>\n<p>El modelo de doble extorsi\u00f3n de exfiltrar datos antes de cifrar los archivos ha dado lugar a herramientas personalizadas desarrolladas por los actores (por ejemplo, Exmatter, Exbyte y StealBit) para enviar la informaci\u00f3n confidencial a una infraestructura controlada por el adversario.<\/p>\n<p>Esto requiere que estos grupos de delitos electr\u00f3nicos establezcan acceso a largo plazo para explorar el entorno con el fin de comprender la estructura de la red, localizar recursos que puedan respaldar el ataque, elevar sus privilegios o permitirles integrarse e identificar datos valiosos que puedan ser robados.<\/p>\n<p>&#8220;Durante el \u00faltimo a\u00f1o, hemos sido testigos de cambios importantes en el espacio del ransomware con el surgimiento de m\u00faltiples grupos nuevos de ransomware, cada uno con objetivos, estructuras operativas y victimolog\u00eda \u00fanicos&#8221;, dijo Talos. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/common-ransomware-actor-ttps-playbooks\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;La diversificaci\u00f3n pone de relieve un cambio hacia actividades cibercriminales m\u00e1s espec\u00edficas, ya que grupos como Hunters International, Cactus y Akira crean nichos espec\u00edficos, centr\u00e1ndose en objetivos operativos y elecciones estil\u00edsticas distintos para diferenciarse&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/new-ransomware-group-exploiting-veeam.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de julio de 2024\ue804Sala de prensaViolaci\u00f3n de datos \/ Malware Una falla de seguridad ahora parcheada en<\/p>\n","protected":false},"author":1,"featured_media":1271108,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,121651,4664,38,6614,4662,2386,4668,4667,239182,4654,239508,4658,4659,4653,480,4883,4666,4665,6246,133463,4014,239484],"class_list":["post-1271107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-backup","tag-como-hackear","tag-del","tag-explota","tag-filtracion-de-datos","tag-grupo","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nuevo","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-veeam","tag-vulnerabilidad","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1271107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1271107"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1271107\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1271108"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1271107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1271107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1271107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}