Οι συμμορίες ransomware Akira και Fog εκμεταλλεύονται τώρα μια κρίσιμη ευπάθεια που επιτρέπει στους εισβολείς να εκτελέσουν κώδικα απομακρυσμένα σε ευάλωτους Veeam Backup & Replication (VBR) servers.
Η ευπάθεια παρακολουθείται ως CVE-2024-40711 και ανακαλύφθηκε από τον ερευνητή ασφαλείας της Code White, Florian Hauser. Μη εξουσιοδοτημένοι χρήστες μπορούν να εκμεταλλευτούν την ευπάθεια σε επιθέσεις χαμηλής πολυπλοκότητας.
Η Veeam κυκλοφόρησε ενημερώσεις ασφαλείας στις 4 Σεπτεμβρίου, ενώ η WatchTowr Labs δημοσίευσε μια τεχνική ανάλυση λίγες ημέρες μετά. Ωστόσο, η WatchTowr Labs καθυστέρησε τη δημοσίευση του proof-of-concept exploit code (έως τις 15 Σεπτεμβρίου), για να δώσει στους διαχειριστές αρκετό χρόνο να εφαρμόσουν την ενημέρωση και να προστατεύσουν τους διακομιστές τους.
Το λογισμικό Veeam Backup & Replication χρησιμοποιείται από πολλούς οργανισμούς για δημιουργία αντιγράφων ασφαλείας, επαναφορά και replicating εικονικών, φυσικών και cloud συστημάτων. Γι’ αυτό το λόγο, οι επιτιθέμενοι που αναζητούν γρήγορη πρόσβαση στα εφεδρικά δεδομένα μιας εταιρείας, αναζητούν ευπάθειες στο λογισμικό.
Όπως διαπίστωσαν οι αναλυτές του Sophos X-Ops τον τελευταίο μήνα, η ευπάθεια της Veeam εντοπίστηκε γρήγορα και αξιοποιήθηκε σε επιθέσεις των ransomware συμμοριών Akira και Fog. Οι hackers χρησιμοποίησαν την ευπάθεια και παραβιασμένα credentials για να προσθέσουν έναν τοπικό λογαριασμό “point” σε local Administrators και Remote Desktop Users groups.
“Σε όλες τις περιπτώσεις, οι εισβολείς είχαν αρχικά πρόσβαση σε στόχους χρησιμοποιώντας παραβιασμένα VPN gateways, χωρίς ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων. Ορισμένα από αυτά τα VPN εκτελούσαν μη υποστηριζόμενες εκδόσεις λογισμικού. Στην επίθεση με το Fog ransomware, ο εισβολέας το ανέπτυξε σε έναν μη προστατευμένο διακομιστή Hyper-V και, στη συνέχεια, χρησιμοποίησε το βοηθητικό πρόγραμμα rclone για την εξαγωγή δεδομένων“.
Επομένως, κρίνεται απαραίτητη η άμεση εφαρμογή της ενημέρωσης για τη διόρθωση της ευπάθειας Veeam. Τα προϊόντα της εταιρείας χρησιμοποιούνται από πάνω από 550.000 πελάτες παγκοσμίως. Αυτό σημαίνει ότι χιλιάδες οργανισμοί μπορεί να βρίσκονται σε κίνδυνο.
Extra tips για προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware (Akira, Fog και άλλα). Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: www.bleepingcomputer.com