Los actores de amenazas están explotando activamente las vulnerabilidades críticas en el software Veeam Backup & Replication para implementar un nuevo ransomware denominado 'Frag'.
Esta vulnerabilidad se rastrea como CVE-2024-40711, permite la ejecución remota de código no autenticado y tiene una puntuación de gravedad de 9,8 sobre 10 en la escala CVSS.
Los investigadores de Sophos X-Ops informaron que este ataque era parte de un grupo de actividades de amenazas que denominaron STAC 5881.
Guía del comprador de detección y respuesta gestionadas: descarga gratuita (PDF)
El grupo aprovecha los dispositivos VPN comprometidos para obtener acceso inicial a las redes y explota las vulnerabilidades en Veeam para crear cuentas de administrador fraudulentas.
Sophos Estamos rastreando el ataque. /1
— Sophos X-Ops (@SophosXOps) 10 de octubre de 2024
Esta falla crítica afecta las compilaciones de Veeam Backup & Replication versión 12.1.2.172 y anteriores. Veeam, una popular solución de respaldo utilizada por más de 550.000 clientes en todo el mundo, incluido el 74% de las empresas Global 2000, lanzó un parche para esta vulnerabilidad a principios de septiembre de 2024.
Anteriormente, se observó que STAC 5881 implementaba variantes de los ransomware Akira y Fog. Sin embargo, en un incidente reciente, los investigadores de Sophos detectaron el uso de un nuevo ransomware no documentado anteriormente llamado Frag.
“Al igual que en eventos anteriores, los atacantes utilizaron dispositivos VPN comprometidos para acceder, explotaron las vulnerabilidades de Veeam y creé una nueva cuenta con ese nombre. Sin embargo, en este incidente también se creó una cuenta “point2”. “
Frag ransomware se ejecuta a través de la línea de comando y requiere que los atacantes especifiquen el porcentaje de archivos que se cifrarán. Agrega una extensión “.frag” a los archivos cifrados. Desde entonces, Sophos ha añadido la detección de archivos binarios Frag a su software de protección de endpoints.
Los investigadores notaron tácticas, técnicas y prácticas similares entre los operadores de Frag y los que están detrás del ransomware Akira y Fog. Esto sugiere la posible conexión o aparición de nuevos actores que adopten tácticas establecidas.
La explotación de CVE-2024-40711 sigue un patrón en el que los atacantes apuntan a soluciones de respaldo para maximizar el impacto de sus campañas de ransomware. Al comprometer los sistemas de respaldo, los atacantes pretenden hacer imposible que las víctimas recuperen fácilmente sus datos sin pagar un rescate.
Los expertos en ciberseguridad recomiendan encarecidamente que las organizaciones que utilizan Veeam Backup & Replication apliquen las últimas actualizaciones de seguridad de inmediato.
También recomienda aislar los servidores de respaldo de Internet si es posible, aplicar la autenticación multifactor para el acceso administrativo e implementar un monitoreo integral para detectar actividades anómalas.
A medida que los grupos de ransomware evolucionan sus estrategias y apuntan a la infraestructura crítica, nuevas variantes como Frag subrayan la necesidad continua de medidas sólidas de ciberseguridad y parches rápidos para las vulnerabilidades conocidas.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
