El software de seguridad Veeam ha sufrido un ataque de un ransomware que lo ha dejado vulnerable. Este se conoce como EstateRansomware.
Recientemente, se descubrió al responsable de esta amenaza a principios de abril de 2024, dijo que el modus operandi imponía la explotación de CVE-2023-27532 (punta de CVSS: 7.5) para llevar a cabo las actividades malentendidas.
Se dice que el acceso inicial al entorno objetivo se ha facilitado mediante un aparato SSL VPN de Fortinet FortiGate con una cuenta latente adormecedor.
El acceso posterior a la red se logró utilizando la »puerta trasera» para evadir la detección. La responsabilidad principal es conectarse a un servidor de comandos (C2) sobre HTTP y ejecutar comandos arbitrarios emitidos por el atacante.
Group-IB, quien descubrió a este atacante, dijo que observó al actor que explotaba la falla de Veeam CVE-2023-27532 con el objetivo de habilitar xp.cmdshell en el servidor de respaldo y crear una cuenta de usuario pícaro llamada «VeeamBkp», además de realizar actividades de recolección de redes, enumeración y credencial utilizando herramientas como NetScan, AdFind y NitSoft a través de la cuenta recién creada.
«Esta explotación implicó potencialmente un ataque originado en la carpeta de VeeamHax en el servidor de archivos contra la versión vulnerable del software Veeam Backup & Recopilacion instalado en el servidor de copia de seguridad», hipotetizó Zi Wei.
El ataque culminó en el despliegue del ransomware, pero no antes de tomar medidas para perjudicar las defensas y moverse lateralmente del servidor AD a todos los demás servidores y estaciones de trabajo utilizando cuentas de dominio comprometidas.
«Windows Defender fue deshabilitado permanentemente usando DC.exe [Defender Control], seguido de implementación de ransomware y ejecución con PsExec.exe», dcompartió el Group-IB.
Esta noticia se produce cuando la empresa de seguridad Cisco Talos reveló que la mayoría de las pandillas de ransomware priorizan establecer acceso inicial usando fallas de seguridad en aplicaciones de opinión pública, accesorios de phishing o violaciones de cuentas válidas, y eludiendo defensas en sus cadenas de ataque para aumentar el tiempo de permanencia en las redes de víctimas.
Esto requiere que estos grupos de delitos electrónicos establezcan acceso a largo plazo para explorar el medio ambiente con el fin de entender la estructura de la red, localizar recursos que puedan apoyar el ataque, elevar sus privilegios, o permitirles mezclarse e identificar datos de valor que puedan ser robados.