Vulnerabilitatea RCE din Veeam exploatată pentru a implementa Ransomware Frag

Persoanele rău intenționate exploatează în mod activ o vulnerabilitate critică din software-ul Veeam Backup & Replication pentru a implementa o nouă variantă de ransomware denumită Frag.

Vulnerabilitatea, identificată drept CVE-2024-40711, permite executarea de cod de la distanță neautentificată și are un scor CvSS de 9,8/10.

Acest grup, STAC 5881, a folosit dispozitive VPN compromise pentru a obține acces inițial la rețele și apoi a exploatat vulnerabilitatea Veeam pentru a crea conturi de administrator malițioase.

Vulnerabilitatea critică afectează Veeam Backup & Replication versiunea 12.1.2.172 și versiunile anterioare. Veeam, o soluție populară de backup utilizată de peste 550 000 de utilizatori din întreaga lume, a lansat actualizări la începutul lunii septembrie 2024.

Anterior, STAC 5881 a fost observat implementând variantele de ransomware Akira și Fog. Cu toate acestea, într-un incident recent, specialiștii Sophos au detectat utilizarea unui ransomware nou, nedocumentat anterior, denumit Frag.

Ransomware-ul Frag este executat prin intermediul liniei de comandă și solicită atacatorilor să specifice un procent pentru criptarea fișierelor. Acesta adaugă extensia .frag la fișierele criptate. De atunci, Sophos a adăugat capabilități de detectare a binary-ului Frag la software-ul său de protecție a endpoint-urilor.

Specialiștii au observat tactici, tehnici și practici similare între operatorii Frag și cei din spatele ransomware-urilor Akira și Fog.

Exploatarea CVE-2024-40711 urmează un model de atacatori care vizează soluțiile de backup pentru a maximiza impactul campaniilor lor ransomware. Prin compromiterea sistemelor de backup, atacatorii urmăresc să împiedice utilizatorii să își recupereze cu ușurință datele fără a plăti răscumpărarea.

Utilizatorii Veeam Backup & Replication sunt îndemnați insistent să aplice imediat cele mai recente actualizări de securitate.

De asemenea, aceștia recomandă izolarea serverelor de backup de internet, acolo unde este posibil, impunerea autentificării multi-factor pentru accesul la gestionare și implementarea unei monitorizări cuprinzătoare pentru detectarea activităților malițioase.

Sursă: https://cybersecuritynews.com/veeam-rce-frag-ransomware/