Un nuovo gruppo di ransomware, noto come EstateRansomware, sta sfruttando una vulnerabilità nel software Veeam Backup & Replication per condurre attacchi informatici. La vulnerabilità, identificata come CVE-2023-27532, ha ricevuto un punteggio CVSS di 7.5, indicando un rischio significativo. Sebbene il difetto sia stato ora corretto, il gruppo ha già iniziato a utilizzare questa falla per le proprie operazioni malevoli.

Il gruppo è stato scoperto dal team di sicurezza di Group-IB, con sede a Singapore, all'inizio di aprile 2024. Il loro modus operandi prevede l'accesso iniziale all'ambiente bersaglio attraverso un dispositivo Fortinet FortiGate firewall SSL VPN, utilizzando un account dormiente. Questo approccio ha permesso agli attaccanti di accedere al server di failover sfruttando il servizio SSL VPN.

Prima dell'attacco ransomware vero e proprio, sono stati osservati tentativi di brute-force VPN utilizzando l'account "Acc1". Dopo alcuni giorni, un accesso VPN riuscito con "Acc1" è stato tracciato fino a un indirizzo IP remoto. Gli attaccanti hanno quindi stabilito connessioni RDP dal firewall al server di failover e hanno implementato un backdoor persistente chiamato "svchost.exe", eseguito quotidianamente tramite un'attività programmata.

Il backdoor ha permesso agli attaccanti di eludere le misure di rilevamento, connettendosi a un server di comando e controllo (C2) tramite HTTP per eseguire comandi arbitrari. Sfruttando la vulnerabilità di Veeam, il gruppo ha attivato la procedura memorizzata xp_cmdshell sul server di backup e ha creato un account utente fraudolento denominato "VeeamBkp". Hanno inoltre condotto attività di scoperta della rete, enumerazione e raccolta credenziali utilizzando strumenti come NetScan, AdFind e NitSoft.

L'attacco ha culminato con la distribuzione del ransomware, preceduta da passaggi per disabilitare le difese e spostarsi lateralmente dai server Active Directory a tutti gli altri server e workstation utilizzando account di dominio compromessi. Windows Defender è stato disattivato permanentemente utilizzando DC.exe, seguito dalla distribuzione e dall'esecuzione del ransomware con PsExec.exe.

Recentemente, anche un'altra vulnerabilità di Veeam è stata sfruttata in attacchi ransomware da parte del gruppo Akira. Un rapporto di BlackBerry ha rivelato che una compagnia aerea dell'America Latina è stata colpita utilizzando la stessa vulnerabilità per ottenere l'accesso iniziale. Gli attaccanti hanno esfiltrato dati critici prima di distribuire il ransomware Akira.

Questi attacchi sottolineano l'importanza di mantenere aggiornati i software e di applicare tempestivamente le patch di sicurezza. Le organizzazioni devono anche adottare misure di sicurezza proattive per rilevare e mitigare tentativi di accesso non autorizzati. La diversificazione dei gruppi ransomware e l'evoluzione delle loro tecniche richiedono un approccio sempre più sofisticato alla sicurezza informatica.

Tweet