Ransomware-1.jpg

Ransomware mira CVE já corrigido da Veeam

Da Redação
12/11/2024

Em Outubro, a Sophos X-Ops reportou incidentes em que hackers exploraram uma vulnerabilidade nos servidores de backup da Veeam, destacando um novo tipo de ransomware. A vulnerabilidade em questão, identificada como CVE-2024-40711, foi explorada em uma série de ataques atribuídos a um cluster de ameaças chamado STAC 5881. Os invasores utilizavam dispositivos VPN comprometidos para obter acesso e, em seguida, usavam a brecha na Veeam para criar uma conta de administrador local com o nome “point”.

Leia também
HPE corrige falhas críticas em access points Aruba
Hacker pode ter obtido dados de 1.000 empresas pelo MoveIt

Em alguns desses incidentes, os criminosos implantaram os ransomwares Akira ou Fog. Conhecido desde 2023, o Akira teve uma breve interrupção em seu site de vazamento de dados em outubro, mas voltou a ser ativo logo em seguida. O ransomware Fog, por sua vez, surgiu em maio deste ano. Em um caso recente, analistas da Sophos observaram o surgimento de um novo ransomware chamado “Frag”, que também utilizava a vulnerabilidade na Veeam para ataques, criando uma segunda conta de administrador chamada “point2”.

O ransomware Frag funciona na linha de comando e permite ao invasor especificar a porcentagem de criptografia dos arquivos e quais diretórios ou arquivos deseja afetar. Ao criptografar os dados, o Frag adiciona a extensão “.frag” aos arquivos. Neste caso, a proteção de endpoint da Sophos, com o recurso CryptoGuard, conseguiu bloquear a ação do ransomware, e uma detecção para o código malicioso foi implementada.

A Sophos X-Ops, junto com o Agger Labs, notou semelhanças entre as técnicas do Frag e as práticas já usadas pelos ransomwares Akira e Fog. A empresa está acompanhando de perto a evolução dessas ameaças e o possível surgimento de um novo grupo especializado em ransomware. Mais detalhes técnicos serão compartilhados assim que surgirem novos avanços na investigação.

Compartilhar: