Los actores maliciosos están intentando activamente explotar una falla de seguridad ahora parcheada en Veeam Backup & Replication para implementar el ransomware Akira y Fog.
El proveedor de ciberseguridad Sophos dijo que ha rastreado una serie de ataques durante el último mes utilizando credenciales VPN comprometidas y CVE-2024-40711 para crear una cuenta local e implementar el ransomware.
CVE-2024-40711, con una calificación de 9,8 sobre 10,0 en la escala CVSS, se refiere a una vulnerabilidad crítica que permite la ejecución remota de código no autenticado. Veeam resolvió este problema en Backup & Replication 12.2 a principios de septiembre de 2024.
El investigador de seguridad Florian Hauser de la empresa alemana CODE WHITE fue acreditado con el descubrimiento y reporte de vulnerabilidades de seguridad.
“En cada caso, los atacantes accedieron inicialmente a los objetivos utilizando puertas de enlace VPN comprometidas sin autenticación multifactor habilitada”, Sophos dicho. “Algunas de estas VPN ejecutaban versiones de software no compatibles”.
“Cada vez, los atacantes explotaron VEEAM en el puerto 8000 URI/trigger, activando Veeam.Backup.MountService.exe para generar net.exe. El exploit crea una cuenta local, “punto”, y la agrega a los administradores locales y a los grupos de usuarios de escritorio remoto”.
En el ataque que condujo a la implementación del ransomware Fog, los actores de amenazas supuestamente arrojaron el ransomware en un servidor Hyper-V desprotegido, mientras usaban la utilidad rclone para filtrar los datos. Otras implementaciones de ransomware han fallado.
La explotación activa de CVE-2024-40711 ha invitado un aviso del NHS de Inglaterra, que señala que “las aplicaciones empresariales de respaldo y recuperación ante desastres son objetivos valiosos para los grupos de amenazas cibernéticas”.
Esta divulgación se produce cuando la Unidad 42 de Palo Alto Networks detalló un sucesor del ransomware INC llamado Lynx, activo desde julio de 2024, dirigido a organizaciones de servicios minoristas, inmobiliarios, de arquitectura, financieros y ambientales en los Estados Unidos y el Reino Unido.
Según se informa, la aparición de Lynx fue impulsada por la venta del código fuente del ransomware INC en el mercado clandestino criminal ya en marzo de 2024, lo que llevó a los autores de malware a reempaquetar el casillero y generar nuevas variantes.
“Lynx ransomware comparte una parte importante de su código fuente con INC ransomware”, Unidad 42 dicho. “El ransomware INCC apareció inicialmente en agosto de 2023 y tenía variantes compatibles con Windows y Linux”.
Esto también sigue a un aviso del Centro de Coordinación de Ciberseguridad Médica (HC3) del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. de que al menos una entidad de atención médica en el país ha sido víctima de Trinidad ransomwareotro reproductor de ransomware relativamente nuevo que saltó a la fama por primera vez en mayo de 2024 y se considera una nueva marca de ransomware 2023Lock y Venus.
“Es un tipo de malware que se infiltra en los sistemas a través de múltiples vectores de ataque, incluidos correos electrónicos de phishing, sitios web maliciosos y explotación de vulnerabilidades de software”, HC3 dicho. “Una vez dentro del sistema, el ransomware Trinity utiliza una estrategia de doble extorsión para atacar a sus víctimas”.
También se han observado ciberataques con una variante del ransomware MedusaLocker denominada BabyLockerKZ por parte de un actor de amenazas con motivación financiera que se sabe que está activo desde octubre de 2022, con objetivos ubicados principalmente en países de la UE y América del Sur.
“Este atacante utiliza varias herramientas de ataque conocidas públicamente y binarios externos (LoLBins), un conjunto de herramientas creadas por el mismo desarrollador (posiblemente el atacante) para facilitar el robo de información de identificación y movimientos laterales en organizaciones comprometidas”, investigadores de Talos dicho.
“Estas herramientas son en su mayoría envoltorios de herramientas disponibles públicamente que incluyen características adicionales para agilizar el proceso de ataque y proporcionar interfaces gráficas o de línea de comandos”.