Una falla de seguridad ahora parcheada en el software Veeam Backup & Replication está siendo explotada por una incipiente operación de ransomware conocida como EstateRansomware.
Group IB, con sede en Singapur, que descubrió al actor de amenazas a principios de abril de 2024, dijo que el modus operandi implicaba la explotación de CVE-2023-27532 (puntuación CVSS: 7,5) para llevar a cabo actividades maliciosas.
El acceso inicial al entorno de destino se habría facilitado utilizando un dispositivo VPN SSL con firewall FortiGate de Fortinet utilizando una cuenta inactiva.
«El actor de amenazas giró lateralmente desde el firewall FortiGate a través del servicio VPN SSL para acceder al servidor de conmutación por error», dijo el investigador de seguridad Yeo Zi Wei. dicho en un análisis publicado hoy.
“Antes del ataque de ransomware, se observaron intentos de fuerza bruta de VPN en abril de 2024 utilizando una cuenta inactiva identificada como ‘Acc1’. Varios días después, se rastreó una conexión VPN exitosa usando «Acc1″ hasta la dirección IP remota 149.28.106.[.]252.»
A continuación, los actores de amenazas procedieron a establecer conexiones RDP entre el firewall y el servidor de conmutación por error y luego implementaron una puerta trasera persistente llamada «svchost.exe» que se ejecuta diariamente mediante una tarea programada.
El acceso posterior a la red se logró utilizando la puerta trasera para evadir la detección. La función principal de la puerta trasera es conectarse a un servidor de comando y control (C2) a través de HTTP y ejecutar comandos arbitrarios emitidos por el atacante.
Group-IB dijo que observó al actor explotando Veeam CVE-2023-27532 para activar xp_cmdshell en el servidor de respaldo y crear una cuenta de usuario maliciosa llamada «VeeamBkp», mientras realizaba actividades de descubrimiento de red, enumeración y recopilación de credenciales utilizando herramientas como NetScan, AdFind y NitSoft usando la cuenta recién creada.
«Este exploit potencialmente implicó un ataque originado desde la carpeta VeeamHax en el servidor de archivos contra la versión vulnerable del software Veeam Backup & Replication instalado en el servidor de respaldo», planteó la hipótesis Zi Wei.
“Esta actividad facilitó la activación del procedimiento almacenado xp_cmdshell y la posterior creación de la cuenta “VeeamBkp”. »
El ataque resultó en la implementación del ransomware, no sin antes tomar medidas para debilitar las defensas y moverse lateralmente desde el servidor AD a todos los demás servidores y estaciones de trabajo que utilizan cuentas de dominio comprometidas.
“Windows Defender se ha deshabilitado permanentemente mediante DC.exe [Defender Control]seguimiento de la implementación y ejecución de ransomware con PsExec.exe«, dijo el Grupo IB.
Esta revelación se produce cuando Cisco Talos reveló que la mayoría de las bandas de ransomware dan prioridad al establecimiento de un acceso inicial mediante el uso de agujeros de seguridad en aplicaciones públicas, archivos adjuntos de phishing o la vulneración de cuentas válidas y eludiendo las defensas en sus cadenas de ataque.
El modelo de doble extorsión de exfiltrar datos antes de cifrar archivos ha dado lugar a herramientas personalizadas desarrolladas por los actores (por ejemplo, Exmatter, Exbyte y StealBit) para enviar información confidencial a la infraestructura controlada por los actores oponentes.
Esto requiere que estos grupos de delitos cibernéticos establezcan un acceso a largo plazo para explorar el entorno y comprender la estructura de la red, localizar recursos que puedan respaldar el ataque, elevar sus privilegios o permitirles integrarse e identificar datos valiosos que pueden ser robados.
«Durante el año pasado, hemos visto cambios importantes en el espacio del ransomware con la aparición de varios grupos nuevos de ransomware, cada uno con objetivos, estructuras operativas y victimología únicos», dijo Talos. dicho.
“Esta diversificación pone de relieve un cambio hacia actividades cibercriminales más específicas, a medida que grupos como Hunters International, Cactus y Akira crean nichos específicos, centrándose en distintos objetivos operativos y opciones estilísticas para diferenciarse. »