Akira ve sis fidye yazılımı saldırılarında kullanıldıktan sonra, fragman fidye yazılımını dağıtmak için son zamanlarda kritik bir Veeam Yedekleme ve Çoğaltma (VBR) güvenlik kusuru da kullanıldı.
Kod Beyaz Güvenlik Araştırmacısı Florian Hauser, güvenlik açığının (CVE-2024-40711 olarak izlenmesi), kimlik doğrulanmamış tehdit aktörlerinin veeam VBR sunucularında uzaktan kod yürütme (RCE) kazanmak için sömürülebileceği güvenilmeyen veri zayıflığının seansize edilmesinden kaynaklandığını buldu.
9 Eylül'de CVE-2024-40711 hakkında teknik bir analiz yayınlayan WatchTowr Labs, yöneticilerin 4 Eylül'de Veeam tarafından verilen güvenlik güncellemelerini uygulamak için yeterli zaman vermek üzere 15 Eylül'e kadar bir kavram kanıtı yayınlamasını geciktirdi.
Code White ayrıca, "fidye yazılımı çeteleri tarafından anında istismar edilebilir" çünkü kusuru açıkladığında daha fazla ayrıntı paylaşmayı geciktirdi.
Bu gecikmeler, Veeam'in VBR yazılımı, bir şirketin yedekleme verilerine hızlı erişim arayan tehdit aktörleri için popüler bir hedef olarak teşvik edildi, çünkü birçok işletme bunu sanal, fiziksel ve bulutu desteklemek, geri kazanmak ve çoğaltmak için bir felaket kurtarma ve veri koruma çözümü olarak kullanıyor makineler.
Bununla birlikte, Sophos X-OPS olay müdahale ekipleri bunun Akira ve sis fidye yazılımı saldırılarını geciktirmek için çok az şey yaptığını buldu. Tehdit oyuncusu, yerel yöneticilere ve uzak masaüstü kullanıcı gruplarına alışılmamış ve internete maruz kalan sunucularda haydut hesaplar eklemek için çalıntı VPN ağ geçidi kimlik bilgileriyle birlikte RCE kusurundan yararlandı.
Daha yakın zamanlarda, Sophos ayrıca aynı tehdit faaliyet kümesinin ("STAC 5881" olarak izlendiği), Frage fidye yazılımlarının tehlikeye atılmış ağlara dağıtılmasına yol açan saldırılarda CVE-2024-40711 istismarları kullandığını keşfetti.
Sophos X-Ops'da ana tehdit araştırmacısı Sean Gallagher, "Son zamanlarda yapılan bir durumda MDR analistleri bir kez daha STAC 5881 ile ilişkili taktikleri gözlemledi-ancak bu kez daha önce 'Frage' adlı daha önce açıklanmış bir fidye yazılımının konuşlandırılmasını gözlemledi." Dedi.
"Önceki olaylara benzer şekilde, tehdit oyuncusu erişim için tehlikeye atılmış bir VPN cihazı kullandı, Veeam güvenlik açığından yararlandı ve 'Point' adlı yeni bir hesap oluşturdu. Ancak bu olayda bir 'Point2' hesabı da oluşturuldu."
Yakın zamanda yapılan bir raporda, İngiliz siber güvenlik şirketi Agger Labs, yakın zamanda ortaya çıkan fragman yazılım çetesinin, saldırılarında kara ikili dosyalarından (Lolbins) yaşamı - ödün verilen sistemlerde zaten mevcut olan ve savunucuların aktivitelerini tespit etmelerini zorlaştıran ayrıntılı yazılımları kapsamlı bir şekilde kullandığını söyledi.
Ayrıca, saldırıları sırasında yedekleme ve depolama çözümlerindeki eşleştirilmemiş güvenlik açıklarını ve yanlış yapılandırmaları hedefleyecekleri için Akira ve Sis operatörlerine benzer bir oyun kitabı var.
Mart 2023'te Veeam, kötü niyetli aktörlerin yedekleme altyapısını ihlal etmesine izin verebilecek başka bir yüksek şiddetli VBR güvenlik açığı (CVE-2023-27532) yamaladı. Aylar sonra, ABD kritik altyapı organizasyonlarını hedefleyen Küba fidye yazılımı saldırılarına bir CVE-2023-27532 istismarı (finansal olarak motive edilen FIN7 tehdit grubuna bağlı saldırılarda kullanılır) konuşlandırıldı.
Veeam, dünya çapında 550.000'den fazla müşterinin, küresel 2.000 listesindeki tüm şirketlerin yaklaşık% 74'ünü de dahil olmak üzere ürünlerini kullandığını söylüyor.
Akira ve sis fidye yazılımı artık kritik Veeam RCE kusurundan yararlanıyor
Saldırılarda Rustystealer ile yeni YMIR Fidye Yazılımı Ortakları
Halliburton fidye yazılımı saldırısından sonra 35 milyon dolarlık kayıp bildiriyor
Interlock ile tanışın - FreeBSD sunucularını hedefleyen yeni fidye yazılımı
Columbus Şehri: Temmuz ayında 500.000 çalınan veriler fidye yazılımı saldırısı
Kaynak: Bleeping Computer