EstateRansomware: Εκμεταλλεύεται την ευπάθεια Veeam
Μια νέα συμμορία ransomware, η οποία ονομάζεται EstateRansomware, εκμεταλλεύτηκε ένα – πρόσφατα διορθωμένο – κενό ασφαλείας στο λογισμικό Veeam Backup & Replication.
Στις αρχές Απριλίου 2024 ανακαλύφθηκε από την Group-IB, ότι οι χάκερς εκμεταλλεύτηκαν το CVE-2023-27532 (βαθμολογία CVSS: 7.5) για να εκτελέσουν κακόβουλες δραστηριότητες. Η αρχική πρόσβαση επιτεύχθηκε μέσω ενός λογαριασμού που χρησιμοποιούσε ένα SSL VPN firewall Fortinet FortiGate, το οποίο δεν ήταν σε ενεργή χρήση εκείνη την περίοδο. Στη συνέχεια, οι χάκερς απέκτησαν πρόσβαση στο δίκτυο, δημιουργώντας ένα backdoor, ώστε να έχουν συνεχή πρόσβαση και έπειτα συνδέθηκαν σε έναν server ελέγχου και διαχείρισης. Εκμεταλλεύτηκαν το κενό ασφαλείας του Veeam για να ενεργοποιήσουν κακόβουλο κώδικα στον backup server, δημιουργώντας μετέπειτα κακόβουλο λογαριασμό “VeeamBkp”.
Η επίθεση οδήγησε στην εγκατάσταση ransomware, αφού απενεργοποιήθηκε το Windows Defender και έγινε μια side-loading κίνηση μέσω των servers. Σύμφωνα με την Cisco Talos, οι ransomware συμμορίες συχνά εκμεταλλεύονται κενά ασφαλείας σε δημόσια προσβάσιμες εφαρμογές, χρησιμοποιούν phishing ή παραβιάζουν τους νόμιμους λογαριασμούς για να αποκτήσουν πρόσβαση. Μια ακόμη μέθοδος που χρησιμοποιούν, είναι να εξάγουν δεδομένα πριν την κρυπτογράφηση των αρχείων χρησιμοποιώντας εξειδικευμένα εργαλεία για την κλοπή δεδομένων.
Το τοπίο του ransomware έχει αλλάξει, φέρνοντας στην επιφάνεια νέες κακόβουλες συμμορίες με πιο εξειδικευμένες εγκληματικές δραστηριότητες. Για να ανταποκριθούν λοιπόν οι εταιρείες σε αυτές τις εξελίξεις, πρέπει να δώσουν ιδιαίτερη προσοχή και να υιοθετήσουν σύγχρονα μέτρα ασφάλειας.
