ClickCease Vulnerabilidad de Veeam explotada por un nuevo actor de amenazas de ransomware - TuxCare

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El software de copia de seguridad Veeam está siendo explotado por un nuevo grupo de ransomware

Wajahat Raja

26 de julio de 2024 - Equipo de expertos TuxCare

Según informes recientes, una vulnerabilidad de Veeam, que ya está parcheada, está siendo explotada por un grupo de actores de amenazas emergentes llamado EstateRansomware. El fallo de seguridad de Veeam está presente en su software de copia de seguridad y replicación y puede tener graves consecuencias si se explota. En este artículo, nos sumergiremos en la vulnerabilidad y nos centraremos en cómo se descubrió, la cadena de ataque y mucho más. Comencemos.

Vulnerabilidad de Veeam: Descubrimiento inicial

La vulnerabilidad de Veeam está siendo rastreada actualmente como CVE-2023-27532 y tiene una puntuación de gravedad de vulnerabilidad crítica (CVSS) de 7,5. Group-IB, con sede en Singapur, descubrió por primera vez en abril de 2024 los movimientos de los actores de amenazas relacionados con la explotación de la vulnerabilidad de Veeam.

Los investigadores de seguridad de la organización creen que el acceso inicial adquirido por los actores de la amenaza fue facilitado por el dispositivo VPN SSL del cortafuegos Fortinet FortiGate y que se utilizó una cuenta inactiva. Yeo Zi Wei, un investigador de seguridad, proporcionando más información ha declarado que:

"El actor de la amenaza pivotó lateralmente desde el Firewall FortiGate a través del servicio SSL VPN para acceder al servidor de conmutación por error".

Los movimientos del actor de la amenaza que se identificaron en abril de 2024 fueron intentos de fuerza bruta de VPN realizados mediante una cuenta inactiva identificada como "Acc1". El inicio de sesión VPN con éxito utilizando la cuenta también se rastreó hasta una dirección IP remota días después.

Cadena de ataques del ransomware Estate

En cuanto a la cadena de ataque, los actores de la amenaza desarrollaron conexiones RDP desde el cortafuegos al servidor de conmutación por error. A esta iniciativa le siguió un backdoor persistente de nombre "svchost.exe " que se ejecutaba a diario. El backdoor también facilitó el acceso posterior y la evasión de la detección.

Cabe mencionar que las principales responsabilidades del backdoor eran conectarse a un servidor de comando y control (C2) mediante HTTP. Una vez establecida la conexión, se utilizaba para ejecutar comandos arbitrarios según las instrucciones del atacante. Además, el actor de la amenaza que explotaba la vulnerabilidad de Veeam pretendía habilitar xp_cmdshell en el servidor de respaldo.

Esto se hizo para crear una cuenta falsa llamada "VeeamBkp". Otros objetivos de esta iniciativa incluían llevar a cabo el descubrimiento de la red, la enumeración y la recolección de credenciales. Las herramientas que se utilizaron para adquirir credenciales incluyen NetScan, AdFind y NitSoft. Se accedió a estas herramientas y se utilizaron a través de la cuenta rouge.

El ransomware se desplegó después de que el actor de la amenaza ampliara la superficie de ataque realizando movimientos laterales desde el servidor AD. Group-IB comentó la táctica:

"Windows Defender fue desactivado permanentemente usando DC.exe [Defender Control], seguido del despliegue y ejecución del ransomware con PsExec.exe".

Conclusión

Teniendo en cuenta estos datos sobre la vulnerabilidad de Veeam, se puede afirmar que las actividades de los ciberdelincuentes son cada vez más selectivas. Las amenazas están utilizando varios métodos de ataque para diferenciarse y están interesadas en obtener acceso antes de un ataque para explorar el entorno. A la luz de estas circunstancias, los usuarios individuales y las organizaciones deben adaptar protocolos de ciberseguridad robustos para reducir el riesgo y mejorar la postura de seguridad.

Las fuentes de este artículo incluyen artículos en The Hacker News y Security Week.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín