Una vulnerabilidad en el software Veeam Backup & Replication, ya parcheada, está siendo aprovechada por un grupo de ransomware conocido como EstateRansomware.
El actor de amenazas fue descubierto por Group-IB a principios de abril de 2024, explotando el CVE-2023-27532 (CVSS score: 7.5) para actividades maliciosas.
El acceso inicial se logró a través de un appliance de la VPN SSL del firewall Fortinet FortiGate usando una cuenta inactiva.
El investigador de seguridad Yeo Zi Wei explicó que el actor avanzó lateralmente desde el Firewall FortiGate hasta un servidor de conmutación por error.
Antes del ataque de ransomware, se registraron intentos de fuerza bruta de VPN en abril de 2024 utilizando una cuenta inactiva llamada ‘Acc1‘. Un inicio de sesión exitoso se rastreó hasta la dirección IP remota 149.28.106[.]252.
Los actores de amenazas establecieron conexiones RDP desde el firewall al servidor de conmutación por error, desplegando una puerta trasera persistente llamada «svchost.exe» que se ejecuta diariamente a través de una tarea programada.
Posteriormente, se logró acceso a la red utilizando la puerta trasera para evadir la detección, conectándose a un server de comando y control (C2) a través de HTTP y ejecutando comandos arbitrarios.
Group-IB observó al actor explotar la falla de Veeam CVE-2023-27532 para habilitar xp_cmdshell en el servidor de respaldo, crear una cuenta de usuario fraudulenta llamada «VeeamBkp«, y llevar a cabo actividades de descubrimiento de red, enumeración y recolección de credenciales.
El ataque culminó con el despliegue del ransomware, luego de debilitar las defensas y moverse lateralmente desde el servidor AD a todos los demás servidores y estaciones de trabajo usando cuentas de dominio comprometidas.
Según Group-IB, Windows Defender fue desactivado de manera permanente utilizando DC.exe [Defender Control], seguido por el despliegue y ejecución del ransomware con PsExec.exe.
Esta revelación llega luego de que Cisco Talos revelara que la mayoría de las bandas de ransomware priorizan el establecimiento de accesos iniciales utilizando fallas de seguridad, archivos adjuntos de phishing o violación de cuentas válidas, y sortear las defensas en sus cadenas de ataque.
El modelo de doble extorsión ha dado lugar a herramientas personalizadas desarrolladas por los actores para enviar información confidencial a una infraestructura controlada por adversarios.
Esto implica que estos grupos establezcan acceso a largo plazo para explorar el entorno y comprender la estructura de la red, localizar recursos que respalden el ataque y robar datos de valor.
Cisco Talos señaló que durante el último año ha habido importantes cambios en el espacio del ransomware, con la aparición de múltiples grupos de ransomware, cada uno con objetivos y estructuras operativas distintos.
Vía The Hacker News