Ένα ελάττωμα ασφαλείας που έχει πλέον επιδιορθωθεί στο λογισμικό Veeam Backup & Replication, γίνεται αντικείμενο εκμετάλλευσης από μια εκκολαπτόμενη ομάδα ransomware γνωστή ως EstateRansomware.

Δείτε επίσης: Οι ομάδες Ransomware στρέφονται στην αμυντική αποφυγή

Η Group-IB με έδρα τη Σιγκαπούρη, η οποία ανακάλυψε τον κακόβουλο παράγοντα στις αρχές Απριλίου 2024, είπε ότι ο τρόπος λειτουργίας περιλάμβανε την εκμετάλλευση του CVE-2023-27532 (βαθμολογία CVSS: 7,5) για την πραγματοποίηση των κακόβουλων δραστηριοτήτων.

Η αρχική πρόσβαση στο περιβάλλον προορισμού λέγεται ότι διευκολύνθηκε μέσω μιας συσκευής τείχους προστασίας Fortinet FortiGate SSL VPN, χρησιμοποιώντας έναν αδρανή λογαριασμό.

Ο κακόβουλος παράγοντας μετακινήθηκε πλευρικά από το τείχος προστασίας FortiGate μέσω της υπηρεσίας SSL VPN για πρόσβαση στον διακομιστή ανακατεύθυνσης“, δήλωσε ο ερευνητής ασφαλείας Yeo Zi Wei σε μια ανάλυση που δημοσιεύτηκε πρόσφατα.

Στη συνέχεια, η ομάδα EstateRansomware προχώρησε στη δημιουργία συνδέσεων RDP από το τείχος προστασίας στον διακομιστή ανακατεύθυνσης του Veeam, ακολουθούμενο από την ανάπτυξη ενός μόνιμου backdoor με το όνομα “svchost.exe” που εκτελείται καθημερινά μέσω μιας προγραμματισμένης εργασίας.

Η μετέπειτα πρόσβαση στο δίκτυο επιτεύχθηκε χρησιμοποιώντας το backdoor για να αποφευχθεί ο εντοπισμός. Η κύρια ευθύνη του backdoor είναι να συνδεθεί με έναν διακομιστή εντολών και ελέγχου (C2) μέσω HTTP και να εκτελέσει αυθαίρετες εντολές που εκδίδονται από τον εισβολέα.

Δείτε ακόμα: Avast: Εργαλείο αποκρυπτογράφησης για DoNex, Muse, DarkRace ransomware

Η Group-IB είπε ότι παρατήρησε την ομάδα EstateRansomware να εκμεταλλεύεται το ελάττωμα του Veeam CVE-2023-27532 με στόχο να ενεργοποιήσει το xp_cmdshell στον εφεδρικό διακομιστή και να δημιουργήσει έναν ψεύτικο λογαριασμό χρήστη με το όνομα “VeeamBkp“, παράλληλα με τη διεξαγωγή δραστηριοτήτων ανακάλυψης, απαρίθμησης και συλλογής διαπιστευτηρίων χρησιμοποιώντας εργαλεία όπως το NetScan, το AdFind και το NitSoft χρησιμοποιώντας τον νέο λογαριασμό.

Η επίθεση κορυφώθηκε με την ανάπτυξη του ransomware, αλλά όχι πριν από τη λήψη μέτρων για την υποβάθμιση της άμυνας και τη μετακίνηση πλευρικά από τον διακομιστή AD σε όλους τους άλλους διακομιστές και σταθμούς εργασίας που χρησιμοποιούν λογαριασμούς τομέα σε κίνδυνο.

Η αποκάλυψη έρχεται καθώς η Cisco Talos δήλωσε ότι οι περισσότερες συμμορίες ransomware δίνουν προτεραιότητα στη δημιουργία αρχικής πρόσβασης χρησιμοποιώντας ελαττώματα ασφαλείας σε δημόσιες εφαρμογές, συνημμένα ηλεκτρονικού phishing ή παραβίαση έγκυρων λογαριασμών και παρακάμπτοντας τις άμυνες στις αλυσίδες επιθέσεών τους.

Το μοντέλο διπλού εκβιασμού της εξαγωγής δεδομένων πριν από την κρυπτογράφηση αρχείων, οδήγησε περαιτέρω σε προσαρμοσμένα εργαλεία που αναπτύχθηκαν από τους φορείς (π.χ. Exmatter, Exbyte και StealBit) για την αποστολή των εμπιστευτικών πληροφοριών σε μια υποδομή που ελέγχεται από τον αντίπαλο.

Δείτε επίσης: Η STORMOUS Ransomware ισχυρίζεται παραβίαση της HITC Telecom

Οι ομάδες ransomware είναι οργανωμένες οντότητες κυβερνοεγκληματικότητας που αναπτύσσουν ransomware για να εκβιάζουν χρήματα από άτομα, επιχειρήσεις, ακόμη και κρατικούς θεσμούς, όπως η EstateRansomware που παραβίασε το λογισμικό Veeam. Αυτές οι ομάδες σχεδιάζουν κακόβουλο λογισμικό που κρυπτογραφεί τα δεδομένα του θύματος, καθιστώντας τα απρόσιτα μέχρι να πληρωθούν τα λύτρα, συχνά σε κρυπτονομίσματα για να διατηρηθεί η ανωνυμία. Ιδιαίτερα εξελιγμένες, αυτές οι ομάδες λειτουργούν συχνά με υψηλό επίπεδο επαγγελματισμού, χρησιμοποιώντας στρατηγικές όπως ο διπλός εκβιασμός, όπου απειλούν να διαρρεύσουν κλεμμένα δεδομένα εάν δεν πληρωθούν τα λύτρα. Εξέχουσες ομάδες ransomware όπως το REvil, το Conti και το DarkSide έχουν γίνει πρωτοσέλιδα για τις επιθέσεις υψηλού προφίλ τους και τις σημαντικές οικονομικές επιπτώσεις στους στόχους τους.

Πηγή: thehackernews