Хакеры активно пытаются воспользоваться недавно устранённой уязвимостью в Veeam Backup & Replication для распространения программ-вымогателей Akira и Fog.
Компания по кибербезопасности Sophos сообщила, что отслеживает серию атак, произошедших в прошлом месяце. В ходе этих атак применялись скомпрометированные учетные данные VPN и уязвимость CVE-2024-40711 для создания локальной учетной записи и внедрения программ-вымогателей.
Украденные данные учетных данных VPN уже не в первый раз становятся жертвами хакеров. В августе расследование Sophos выявило как были украдены учетные данные в браузерах Google Chrome.
CVE-2024-40711 — это критическая уязвимость, которая получила оценку 9,8 из 10 баллов по шкале CVSS. Она позволяет удаленно выполнять код без аутентификации. Veeam устранила эту проблему в версии Backup & Replication 12.2 в начале сентября 2024 года. Данная уязвимость была обнаружена и описана исследователем безопасности Флорианом Хаузером из компании CODE WHITE, базирующейся в Германии.
Better patch your Veeam Backup & Replication servers! Full system takeover via CVE-2024-40711, discovered by our very own @frycos — no technical details from us this time because this might instantly be abused by ransomware gangs https://t.co/pGLq1RQi3n pic.twitter.com/uUkRA2wgji
— CODE WHITE GmbH (@codewhitesec) September 5, 2024
Логистика хакерской атаки через VPN-шлюзы
Sophos отметила, что во всех проанализированных инцидентах злоумышленники получили доступ к целевым системам через VPN-шлюзы, не поддерживающие многофакторную аутентификацию. Некоторые из этих VPN работали на устаревших версиях ПО.
После успешного проникновения в системы, атакующие использовали уязвимость в Veeam через URI /trigger на порту 8000, что приводило к запуску службы Veeam.Backup.MountService.exe и созданию локальной учетной записи под именем «point», которая добавлялась в группы локальных администраторов и пользователей удаленного рабочего стола.
В одном из случаев, где был задействован вымогатель Fog, злоумышленники разместили его на незащищенном сервере Hyper-V, а для вывода данных использовали утилиту rclone. Однако в других случаях попытки внедрения программ-вымогателей оказались неудачными.
На фоне активной эксплуатации CVE-2024-40711 Национальная служба здравоохранения Англии (NHS England) выпустила предупреждение, указав на то, что корпоративные решения для резервного копирования и восстановления после сбоев являются ценными целями для киберпреступников.
Одновременно с этим, подразделение Palo Alto Networks Unit 42 сообщило о новой разновидности вымогательского ПО Lynx, которая активно используется с июля 2024 года. Эта версия нацелена на компании в сфере розничной торговли, недвижимости, архитектуры, финансов и экологических услуг в США и Великобритании.
Появление Lynx связано с продажей исходного кода вымогателя INC на черном рынке киберпреступников в марте 2024 года, что позволило злоумышленникам создавать новые варианты программы. Unit 42 отмечает, что Lynx имеет значительное сходство с INC, который впервые появился в августе 2023 года и имел версии как для Windows, так и для Linux.
Другие вымогательские ПО
Кроме того, Министерство здравоохранения и социальных служб США (HHS) через свой Центр координации кибербезопасности здравоохранения (HC3) сообщило, что одно из медицинских учреждений в стране стало жертвой вымогательского ПО Trinity. Этот новый игрок на рынке вымогателей впервые появился в мае 2024 года и, по мнению экспертов, является переименованной версией программ 2023Lock и Venus.
«Trinity использует несколько векторов атаки, таких как фишинговые письма, вредоносные веб-сайты и эксплуатация уязвимостей программного обеспечения. После проникновения в систему, Trinity применяет стратегию двойного вымогательства, чтобы оказывать давление на жертв.»
Также был замечен рост атак с использованием варианта вымогательского ПО MedusaLocker, известного как BabyLockerKZ. Этот вредоносный код применяет финансово мотивированная группа, активная с октября 2022 года, и нацелен преимущественно на организации в странах ЕС и Южной Америки.
Исследователи из Talos добавили, что этот злоумышленник использует известные инструменты атаки и утилиты класса LoLBins (Living-off-the-Land Binaries), которые помогают красть учетные данные и распространяться по скомпрометированным системам. Большинство из этих утилит представляют собой улучшенные версии общедоступных инструментов с дополнительным функционалом для автоматизации процесса атаки.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.