back to top
-1 C
New York

Bug Veeam RCE yang kritis sekarang digunakan dalam serangan ransomware Frag

Published:

Setelah digunakan dalam serangan ransomware Akira dan Fog, kelemahan keamanan kritis Veeam Backup & Replication (VBR) juga baru-baru ini digunakan untuk menyebarkan ransomware Frag.

Peneliti Code White Florian Hauser menemukan bahwa kerentanan (dilacak sebagai CVE-2024-40711) disebabkan oleh deserialisasi kelemahan data tidak tepercaya yang dapat dieksploitasi oleh pelaku ancaman tidak sah untuk mencapai eksekusi kode jarak jauh (RCE) di server Veeam VBR.

watchTovr Labs, yang menerbitkan analisis teknis pada CVE-2024-40711 pada tanggal 9 September, menunda rilis eksploitasi bukti konsep hingga tanggal 15 September untuk memberi administrator cukup waktu untuk menerapkan perbaikan keamanan yang dirilis Veeam pada tanggal 4 September.

Code White juga menunda memberikan rincian lebih lanjut ketika menemukan kelemahan tersebut karena “dapat segera dieksploitasi oleh geng ransomware.”

Penundaan ini disebabkan oleh perangkat lunak VBR Veeam, yang merupakan target populer bagi pelaku ancaman yang mencari akses cepat ke data cadangan perusahaan karena banyak bisnis menggunakannya sebagai solusi pemulihan bencana dan perlindungan data untuk pencadangan, pemulihan, dan replikasi virtual, fisik, dan cloud. mesin.

Namun, Sophos X-Ops yang menanggapi insiden tersebut menemukan bahwa hal ini tidak banyak menunda serangan ransomware Akira dan Fog. Pelaku ancaman mengeksploitasi kelemahan RCE bersama dengan kredensial gateway VPN yang dicuri untuk menambahkan akun palsu ke administrator lokal dan grup pengguna desktop jarak jauh di server yang belum ditambal dan terekspos Internet.

Baru-baru ini, Sophos juga menemukan bahwa kelompok aktivitas ancaman yang sama (dilacak sebagai “STAC 5881”) menggunakan eksploitasi CVE-2024-40711 dalam serangan yang mengarah pada penyebaran ransomware Frag pada jaringan yang disusupi.

Pesan penukaran fragmenPesan Penebusan Fragmen (Sophos)

“Dalam kasus baru-baru ini, analis MDR sekali lagi mengamati taktik yang terkait dengan STAC 5881 – namun kali ini mereka mengamati penerapan ransomware yang sebelumnya tidak terdokumentasi bernama 'Frag,'” kata Sean Gallagher, peneliti ancaman utama di Sophos X-Ops.

“Mirip dengan kejadian sebelumnya, pelaku ancaman menggunakan perangkat VPN yang telah disusupi untuk mengakses, mengeksploitasi kerentanan VEEAM, dan membuat akun baru bernama 'point.' Namun, akun 'point2' juga dibuat dalam kejadian ini.”

Dalam sebuah laporan baru-baru ini, perusahaan keamanan siber Inggris, Agger Labs, mengatakan bahwa kelompok ransomware Frag yang baru-baru ini muncul memanfaatkan secara besar-besaran biner Living Off The Land (LOLBins) dalam serangannya – perangkat lunak sah yang sudah tersedia pada sistem yang disusupi – menjadikannya tantangan bagi para pembela HAM untuk melakukan serangan. mendeteksi aktivitas mereka.

Mereka juga memiliki pedoman serupa dengan operator Akira dan Fog, karena mereka cenderung menargetkan kerentanan yang belum ditambal dan kesalahan konfigurasi dalam solusi pencadangan dan penyimpanan selama serangan mereka.

Pada bulan Maret 2023, Veeam menambal kerentanan VBR dengan tingkat keparahan tinggi lainnya (CVE-2023-27532) yang memungkinkan pelaku jahat menyusupi infrastruktur cadangan. Beberapa bulan kemudian, eksploitasi CVE-2023-27532 (digunakan dalam serangan yang terkait dengan kelompok ancaman bermotif finansial FIN7) digunakan dalam serangan ransomware di Kuba yang menargetkan organisasi infrastruktur penting di AS.

Veeam mengatakan lebih dari 550.000 pelanggan di seluruh dunia menggunakan produknya, termasuk sekitar 74% dari seluruh perusahaan dalam daftar 2.000 Global.

Artikel terkait

Artikel Terbaru