Nová ransomware skupina zneužívá zranitelnost Veeam Backup

Nově opravenou bezpečnostní chybu v softwaru Veeam Backup & Replication zneužívá nově vznikající ransomwarový gang známý jako EstateRansomware.

Společnost Group-IB, která aktéra hrozby objevila na začátku dubna 2024, uvedla, že modus operandi zahrnuje zneužití CVE-2023-27532 (skóre CVSS: 7,5) k provádění škodlivých aktivit.

Počáteční přístup do cílového prostředí byl umožněn pomocí zařízení Fortinet FortiGate firewall SSL VPN s využitím neaktivního účtu.

"Útočník se z brány FortiGate Firewall přes službu SSL VPN přesunul v síti" uvedl bezpečnostní výzkumník Yeo Zi Wei v dnes zveřejněné analýze.

"Před ransomware útokem byly v dubnu 2024 zaznamenány pokusy o brute-force VPN pomocí neaktivního účtu identifikovaného jako 'Acc1'. O několik dní později bylo úspěšné přihlášení do sítě VPN pomocí účtu 'Acc1' vysledováno na vzdálenou IP adresu 149.28.106[.]252."

Poté útočníci přistoupili k navázání připojení RDP z firewallu k failover serveru a následně k nasazení trvalého backdooru s názvem "svchost.exe", který je denně spouštěn prostřednictvím naplánované úlohy.

Následný přístup do sítě byl realizován pomocí backdooru, aby se vyhnul detekci.

Společnost Group-IB uvedla, že pozorovala útočníka využívajícího chybu CVE-2023-27532 společnosti Veeam s cílem povolit xp_cmdshell na zálohovacím serveru a vytvořit podvodný uživatelský účet s názvem "VeeamBkp".

Útok vyvrcholil nasazením ransomwaru, ale ne dříve, než byly podniknuty kroky ke zhoršení obrany a přesunu z AD serveru na všechny ostatní servery a pracovní stanice využívající kompromitované doménové účty.

"Program Windows Defender byl trvale deaktivován pomocí DC.exe [Defender Control], následovalo nasazení a spuštění ransomwaru pomocí PsExec.exe," uvedla společnost Group-IB.