Los actores de amenazas est\u00e1n intentando activamente explotar una falla de seguridad ahora parcheada en Veeam Backup & Replication para implementar el ransomware Akira y Fog.<\/p>\n
El proveedor de ciberseguridad Sophos dijo que ha estado rastreando una serie de ataques durante el \u00faltimo mes aprovechando credenciales VPN comprometidas y CVE-2024-40711 para crear una cuenta local e implementar el ransomware.<\/p>\n
CVE-2024-40711, con una calificaci\u00f3n de 9,8 sobre 10,0 en la escala CVSS, se refiere a una vulnerabilidad cr\u00edtica que permite la ejecuci\u00f3n remota de c\u00f3digo no autenticado. Veeam lo solucion\u00f3 en la versi\u00f3n 12.2 de Backup & Replication a principios de septiembre de 2024.<\/p>\n
El investigador de seguridad Florian Hauser de CODE WHITE, con sede en Alemania, ha sido acreditado<\/a> con el descubrimiento y notificaci\u00f3n de deficiencias de seguridad.<\/p>\n “En cada uno de los casos, los atacantes accedieron inicialmente a los objetivos utilizando puertas de enlace VPN comprometidas sin la autenticaci\u00f3n multifactor habilitada”, Sophos dicho<\/a>. “Algunas de estas VPN ejecutaban versiones de software no compatibles”.<\/p>\n “Cada vez, los atacantes explotaron VEEAM en el URI \/trigger en el puerto 8000, activando Veeam.Backup.MountService.exe para generar net.exe. El exploit crea una cuenta local, ‘punto’, agreg\u00e1ndola a los administradores locales y Grupos de usuarios de escritorio remoto”.<\/p>\n En el ataque que condujo a la implementaci\u00f3n del ransomware Fog, se dice que los actores de la amenaza arrojaron el ransomware a un servidor Hyper-V desprotegido, mientras usaban la utilidad rclone para filtrar datos. Las otras implementaciones de ransomware no tuvieron \u00e9xito.<\/p>\n La explotaci\u00f3n activa de CVE-2024-40711 ha incitado<\/a> un aviso del NHS de Inglaterra, que se\u00f1alaba que “las aplicaciones empresariales de copia de seguridad y recuperaci\u00f3n ante desastres son objetivos valiosos para los grupos de amenazas cibern\u00e9ticas”.<\/p>\n La divulgaci\u00f3n se produce cuando la Unidad 42 de Palo Alto Networks detall\u00f3 un sucesor del ransomware INC llamado Lynx que ha estado activo desde julio de 2024, dirigido a organizaciones de los sectores minorista, inmobiliario, de arquitectura, financiero y de servicios ambientales en los EE. UU. y el Reino Unido.<\/p>\n Se dice que la aparici\u00f3n de Lynx fue impulsada por la venta del c\u00f3digo fuente del ransomware INC en el mercado clandestino criminal ya en marzo de 2024, lo que llev\u00f3 a los autores de malware a reempaquetar el casillero y generar nuevas variantes.<\/p>\n “Lynx ransomware comparte una parte importante de su c\u00f3digo fuente con INC ransomware”, Unidad 42 dicho<\/a>. “El ransomware INC apareci\u00f3 inicialmente en agosto de 2023 y ten\u00eda variantes compatibles tanto con Windows como con Linux”.<\/p>\n Tambi\u00e9n sigue un aviso del Centro de Coordinaci\u00f3n de Ciberseguridad del Sector Salud (HC3) del Departamento de Salud y Servicios Humanos de EE. UU. (HHS) de que al menos una entidad de atenci\u00f3n m\u00e9dica en el pa\u00eds ha sido v\u00edctima de ransomware trinidad<\/a>otro reproductor de ransomware relativamente nuevo que se dio a conocer por primera vez en mayo de 2024 y se cree que es un cambio de nombre de 2023Lock y Venus ransomware.<\/p>\n “Es un tipo de software malicioso que se infiltra en los sistemas a trav\u00e9s de varios vectores de ataque, incluidos correos electr\u00f3nicos de phishing, sitios web maliciosos y explotaci\u00f3n de vulnerabilidades de software”, HC3 dicho<\/a>. “Una vez dentro del sistema, el ransomware Trinity emplea una estrategia de doble extorsi\u00f3n para atacar a sus v\u00edctimas”.<\/p>\n Tambi\u00e9n se han observado ataques cibern\u00e9ticos que entregan una variante del ransomware MedusaLocker denominada BabyLockerKZ por parte de un actor de amenazas con motivaci\u00f3n financiera que se sabe que est\u00e1 activo desde octubre de 2022, con objetivos ubicados principalmente en los pa\u00edses de la UE y Am\u00e9rica del Sur.<\/p>\n “Este atacante utiliza varias herramientas de ataque conocidas p\u00fablicamente y binarios que viven fuera de la tierra (LoLBins), un conjunto de herramientas creadas por el mismo desarrollador (posiblemente el atacante) para ayudar en el robo de credenciales y el movimiento lateral en organizaciones comprometidas”, Talos investigadores dicho<\/a>.<\/p>\n “Estas herramientas son en su mayor\u00eda envoltorios de herramientas disponibles p\u00fablicamente que incluyen funcionalidad adicional para agilizar el proceso de ataque y proporcionar interfaces gr\u00e1ficas o de l\u00ednea de comandos”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Vulnerabilidad-critica-de-Veeam-explotada-para-difundir-Akira-y-Fog.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n