14 de octubre de 2024Ravie LakshmananRansomware/Vulnerabilidad Los actores de amenazas están intentando activamente explotar una falla de seguridad ahora parcheada en Veeam Backup & Replication para implementar el ransomware Akira y Fog. El proveedor de ciberseguridad Sophos dijo que ha estado rastreando una serie de ataques durante el último mes aprovechando credenciales VPN comprometidas y CVE-2024-40711 para crear una cuenta local e implementar el ransomware. CVE-2024-40711, con una puntuación de 9,8 sobre 10,0 en la escala CVSS, se refiere a una vulnerabilidad crítica que permite la ejecución remota de código no autenticado. Veeam lo abordó en Backup & Replication versión 12.2 a principios de septiembre de 2024. Al investigador de seguridad Florian Hauser de CODE WHITE, con sede en Alemania, se le atribuye el mérito de descubrir e informar deficiencias de seguridad. «En cada uno de los casos, los atacantes inicialmente accedieron a los objetivos utilizando puertas de enlace VPN comprometidas sin autenticación multifactor habilitada», dijo Sophos. «Algunas de estas VPN ejecutaban versiones de software no compatibles». «Cada vez, los atacantes explotaron VEEAM en el URI /trigger en el puerto 8000, activando Veeam.Backup.MountService.exe para generar net.exe. El exploit crea una cuenta local, ‘punto’, agregándola a los administradores locales y Grupos de usuarios de escritorio remoto». En el ataque que condujo a la implementación del ransomware Fog, se dice que los actores de la amenaza arrojaron el ransomware a un servidor Hyper-V desprotegido, mientras usaban la utilidad rclone para filtrar datos. Las otras implementaciones de ransomware no tuvieron éxito. La explotación activa de CVE-2024-40711 ha provocado un aviso del NHS de Inglaterra, que señala que «las aplicaciones empresariales de copia de seguridad y recuperación ante desastres son objetivos valiosos para los grupos de amenazas cibernéticas». La divulgación se produce cuando la Unidad 42 de Palo Alto Networks detalló un sucesor del ransomware INC llamado Lynx que ha estado activo desde julio de 2024, dirigido a organizaciones en los sectores minorista, inmobiliario, de arquitectura, financiero y de servicios ambientales en los EE. UU. y el Reino Unido. Se dice que fue impulsado por la venta del código fuente del ransomware INC en el mercado clandestino criminal ya en marzo de 2024, lo que llevó a los autores de malware a reempaquetar el casillero y generar nuevas variantes. «Lynx ransomware comparte una parte importante de su código fuente con INC ransomware», dijo la Unidad 42. «El ransomware INC apareció inicialmente en agosto de 2023 y tenía variantes compatibles tanto con Windows como con Linux». También sigue un aviso del Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) del Departamento de Salud y Servicios Humanos de EE. UU. (HHS) de que al menos una entidad de atención médica en el país ha sido víctima del ransomware Trinity, otro jugador de ransomware relativamente nuevo que se dio a conocer por primera vez. en mayo de 2024 y se cree que es un cambio de marca de 2023Lock y Venus ransomware. «Es un tipo de software malicioso que se infiltra en los sistemas a través de varios vectores de ataque, incluidos correos electrónicos de phishing, sitios web maliciosos y explotación de vulnerabilidades de software», dijo HC3. «Una vez dentro del sistema, el ransomware Trinity emplea una estrategia de doble extorsión para atacar a sus víctimas». También se han observado ataques cibernéticos que entregan una variante del ransomware MedusaLocker denominada BabyLockerKZ por parte de un actor de amenazas con motivación financiera que se sabe que está activo desde octubre de 2022, con objetivos ubicados principalmente en los países de la UE y América del Sur. «Este atacante utiliza varias herramientas de ataque conocidas públicamente y binarios que viven fuera de la tierra (LoLBins), un conjunto de herramientas creadas por el mismo desarrollador (posiblemente el atacante) para ayudar en el robo de credenciales y el movimiento lateral en organizaciones comprometidas», Talos dijeron los investigadores. «Estas herramientas son en su mayoría envoltorios de herramientas disponibles públicamente que incluyen funcionalidad adicional para agilizar el proceso de ataque y proporcionar interfaces gráficas o de línea de comandos». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.