Los piratas informáticos están explotando una vulnerabilidad en un producto de Veeam para intentar difundirlo ransomware contra sus objetivos.
Esto es según los investigadores de ciberseguridad de Sophos, quienes detallaron sus hallazgos. Intercambio de seguridad de la información A finales de la semana pasada. Según los investigadores, los estafadores utilizan una combinación de credenciales comprometidas y uso indebido de vulnerabilidades para difundir el ransomware Fog y Akira.
En primer lugar, perseguirán las puertas de enlace VPN que tengan contraseñas incorrectas y no tengan autenticación multifactor (Ministerio de Asuntos Exteriores) prueba. Algunos de estos VPN Se decía que estaban ejecutando versiones de software no compatibles. A continuación, explotaron una vulnerabilidad en Veeam Backup & Replication, rastreada como CVE-2024-40711, que les permitió crear una cuenta local.
Akira y la niebla
CVE-2024-40711 Es una vulnerabilidad crítica que permite la ejecución remota de código (RCE) no autenticado al deserializar datos que no son de confianza. Al enviar una carga útil maliciosa a la aplicación, los actores de amenazas pueden tener la capacidad de ejecutar código arbitrario, sin autenticación. Tiene una calificación de gravedad de 9,8 (crítica). Veeam lanzó una solución para este error en la versión 12.2 (compilación 12.2.0.334), que se lanzó en septiembre de este año. La vulnerabilidad afectó a versiones anteriores de VBR, especialmente a la versión 12.1.2.172 y anteriores.
Se ha recomendado a los administradores que actualicen a la última versión para mitigar el riesgo de explotación.
Después de crear una cuenta local, los estafadores intentarán difundir el ransomware Fog o Akira. En total, los investigadores de Sophos han observado hasta el momento cuatro intentos de ataque.
“Estos casos subrayan la importancia de parchear las vulnerabilidades conocidas, actualizar/reemplazar las VPN no compatibles y utilizar la autenticación multifactor para controlar el acceso remoto. Sophos X-Ops continúa rastreando el comportamiento de estas amenazas.
Aunque solo se registraron unos pocos intentos de ataque, la noticia fue lo suficientemente significativa como para justificar una consulta por parte del NHS de Inglaterra. Como se informó Noticias de piratas informáticosEl consejo enfatizaba que las aplicaciones empresariales de respaldo y recuperación ante desastres eran “objetivos valiosos” para los ciberdelincuentes en todas partes.
a través de Noticias de piratas informáticos