Ciberseguridad 360 | Nuevo grupo de ransomware explota vulnerabilidad del software Veeam backup

Un fallo de seguridad ya parcheado en el software Veeam Backup & Replication est� siendo explotado por una incipiente operaci�n de ransomware conocida como Estate Ransomware.

Group-IB, con sede en Singapur, que descubri� al actor de la amenaza a principios de abril de 2024, dijo que el modus operandi implicaba la explotaci�n de CVE-2023-27532 (puntuaci�n CVSS: 7,5) para llevar a cabo las actividades maliciosas.

Se dice que el acceso inicial al entorno de destino se facilit� mediante un dispositivo VPN SSL de Firewall Fortinet FortiGate utilizando una cuenta inactiva.

"El actor de la amenaza pivot� lateralmente desde el firewall FortiGate a trav�s del servicio SSL VPN para acceder al servidor de conmutaci�n por error", afirma el investigador de seguridad Yeo Zi Wei en un an�lisis publicado hoy.

"Antes del ataque del ransomware, se observaron intentos de fuerza bruta de VPN en abril de 2024 utilizando una cuenta inactiva identificada como 'Acc1'. Varios d�as despu�s, se rastre� un inicio de sesi�n VPN exitoso utilizando 'Acc1' hasta la direcci�n IP remota 149.28.106[.]252".

A continuaci�n, los autores de la amenaza establecieron conexiones RDP desde el firewall al servidor de conmutaci�n por error y desplegaron una puerta trasera persistente denominada "svchost.exe" que se ejecuta diariamente mediante una tarea programada.

El acceso posterior a la red se logr� utilizando el backdoor para evadir la detecci�n. La principal responsabilidad del backdoor es conectarse a un servidor de comando y control (C2) a trav�s de HTTP y ejecutar comandos arbitrarios emitidos por el atacante.

Group-IB dijo que observ� al actor explotando la falla de Veeam CVE-2023-27532 con el objetivo de habilitar xp_cmdshell en el servidor de copia de seguridad y crear una cuenta de usuario falsa llamada "VeeamBkp", junto con la realizaci�n de actividades de descubrimiento de red, enumeraci�n y recolecci�n de credenciales utilizando herramientas como NetScan, AdFind y NitSoft utilizando la cuenta reci�n creada.

"Esta explotaci�n implicaba potencialmente un ataque originado en la carpeta VeeamHax del servidor de archivos contra la versi�n vulnerable del software Veeam Backup & Replication instalada en el servidor de copia de seguridad", seg�n la hip�tesis de Zi Wei.

"Esta actividad facilit� la activaci�n del procedimiento almacenado xp_cmdshell y la posterior creaci�n de la cuenta 'VeeamBkp'".

El ataque culmin� con el despliegue del ransomware, pero no sin antes tomar medidas para deteriorar las defensas y moverse lateralmente desde el servidor AD a todos los dem�s servidores y estaciones de trabajo utilizando cuentas de dominio comprometidas.

"Windows Defender fue desactivado permanentemente utilizando DC.exe [Defender Control], seguido del despliegue y ejecuci�n del ransomware con PsExec.exe", dijo Group-IB.

La revelaci�n se produce cuando Cisco Talos revel� que la mayor�a de las bandas de ransomware priorizan establecer el acceso inicial utilizando fallos de seguridad en aplicaciones de cara al p�blico, archivos adjuntos de phishing o vulnerando cuentas v�lidas, y eludiendo las defensas en sus cadenas de ataque.

El modelo de doble extorsi�n, consistente en filtrar los datos antes de cifrar los archivos, ha dado lugar adem�s a herramientas personalizadas desarrolladas por los actores (por ejemplo, Exmatter, Exbyte y StealBit) para enviar la informaci�n confidencial a una infraestructura controlada por el adversario.

Esto requiere que estos grupos de ciberdelincuentes establezcan un acceso a largo plazo para explorar el entorno con el fin de comprender la estructura de la red, localizar recursos que puedan apoyar el ataque, elevar sus privilegios o permitirles pasar desapercibidos, e identificar datos de valor que puedan ser robados.

"En el �ltimo a�o, hemos sido testigos de importantes cambios en el �mbito del ransomware, con la aparici�n de m�ltiples nuevos grupos de ransomware, cada uno con objetivos, estructuras operativas y victimolog�a �nicos", afirma Talos.

"La diversificaci�n pone de manifiesto un cambio hacia actividades cibercriminales m�s personalizadas, ya que grupos como Hunters International, Cactus y Akira se han creado nichos espec�ficos, centr�ndose en objetivos operativos distintos y elecciones estil�sticas para diferenciarse."

Fuente: thehackernews