maior provedor de backup vaza dados

Ransomware ALPHV explora bugs do Veritas Backup ExeC

Da Redação
04/04/2023

Um afiliado do grupo de ransomware ALPHV/BlackCat foi rastreado explorando três vulnerabilidades que afetam o software de backup da Veritas para acesso inicial a redes. O ALPHV, na verdade, surgiu em dezembro de 2021 e é administrado hoje por ex-membros dos grupos de ransomware Darkside e Blackmatter, que foram encerrados abruptamente para escapar das autoridades policiais.

A Mandiant rastreou o afiliado do ALPHV como UNC4466 e afirma que o método utilizado pelo grupo é um desvio da invasão típico que depende de credenciais roubadas. A empresa de segurança cibernética relata que observou os primeiros casos de exploração de bugs da Veritas em 22 de outubro do ano passado. As vulnerabilidades de alta gravidade visadas pelo UNC4466 são:

  • CVE-2021-27876: falha arbitrária de acesso a arquivos causada por um erro no esquema de autenticação SHA (secure hash algorithm, ou algoritmo de dispersão seguro), que permite que um invasor remoto obtenha acesso não autorizado a endpoints vulneráveis. O bug tem escore de 8.1 na escala do sistema de pontuação comum de vulnerabilidades (CVSS).
  • CVE-2021-27877: acesso remoto não autorizado e execução de comando privilegiado para o Agent BE via autenticação SHA. Pontuação CVSS: 8.2.
  • CVE-2021-27878: falha de execução de comando arbitrário resultante de um erro no esquema de autenticação SHA, permitindo que um invasor remoto obtenha acesso não autorizado a terminais vulneráveis. Pontuação CVSS: 8.8

Todas as três falhas afetam o software Veritas Backup. A fornecedora os divulgou em março de 2021 e lançou uma correção com a versão 21.2. No entanto, apesar de mais de dois anos terem se passado, muitos endpoints permanecem vulneráveis, pois não foram atualizados para uma versão segura.

Veja isso
Symantec alerta sobre ataques a organizações de saúde
ISH investe em parceria com a Veritas

A Mandiant diz que um serviço de varredura comercial mostrou que existem na web pública mais de 8.500 endereços IP que anunciam o serviço “Symantec/Veritas Backup Exec ndmp” na porta padrão 10.000 e nas portas 9.000 e 10.001.

De acordo com a empresa de cibersegurança, o UNC4466 compromete um servidor Windows exposto à internet executando o Veritas Backup Exec usando o módulo Metasploit disponível publicamente e mantém acesso persistente ao host. Segundo ela, após o comprometimento inicial, o operador da ameaça usou os utilitários Advanced IP Scanner e ADRecon para coletar informações sobre o ambiente da vítima. Em seguida, ele baixou ferramentas adicionais no host, como LAZAGNE, LIGOLO, WINSW, RCLONE e, finalmente, o criptografador ALPHV e por meio do Background Intelligent Transfer Service (BITS).

Compartilhar: