Nel panorama della sicurezza informatica, una vulnerabilità critica di Veeam Backup & Replication è stata sfruttata per diffondere i ransomware Akira e Fog. Gli attori delle minacce stanno attivamente sfruttando una falla di sicurezza, ora corretta, per distribuire questi ransomware. Sophos, un noto fornitore di cybersecurity, ha monitorato una serie di attacchi recenti che utilizzano credenziali VPN compromesse e la vulnerabilità CVE-2024-40711 per creare un account locale e distribuire i ransomware. Questa vulnerabilità, valutata 9.8 su 10.0 nella scala CVSS, consente l'esecuzione remota di codice non autenticato ed è stata risolta da Veeam nella versione 12.2 di Backup & Replication all'inizio di settembre 2024.

Scoperta della vulnerabilità

La scoperta di questa vulnerabilità è stata attribuita al ricercatore di sicurezza Florian Hauser di CODE WHITE. Sophos ha osservato che gli attacchi iniziano spesso con l'accesso ai bersagli tramite gateway VPN compromessi, senza l'abilitazione dell'autenticazione multifattore e con software non supportati. Gli attaccanti sfruttano VEEAM sul URI /trigger sulla porta 8000, attivando il Veeam.Backup.MountService.exe per generare net.exe. L'exploit crea un account locale, 'point', aggiungendolo ai gruppi di amministratori locali e utenti di desktop remoto. In un caso, gli attori della minaccia hanno utilizzato un server Hyper-V non protetto per distribuire il ransomware Fog, esfiltrando dati tramite l'utilità rclone. Altri tentativi di distribuzione dei ransomware non hanno avuto successo.

Avviso di NHS England

A causa dello sfruttamento attivo della CVE-2024-40711, NHS England ha emesso un avviso, sottolineando che le applicazioni aziendali di backup e ripristino di emergenza sono obiettivi preziosi per i gruppi di minacce informatiche. Nel contempo, Palo Alto Networks Unit 42 ha descritto un successore del ransomware INC chiamato Lynx, attivo dal luglio 2024 e mirato a organizzazioni nei settori del retail, immobiliare, architettura, finanziario e dei servizi ambientali negli Stati Uniti e nel Regno Unito. L'emergere di Lynx è stato alimentato dalla vendita del codice sorgente di INC ransomware nel mercato sotterraneo criminale a partire da marzo 2024, portando gli autori di malware a ripacchettare il locker e creare nuove varianti.

Avviso del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti

Inoltre, il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha avvisato che almeno un'entità sanitaria nel paese è stata vittima del ransomware Trinity, un nuovo attore ransomware che ha iniziato a farsi conoscere a maggio 2024 e si ritiene sia una rebrand del 2023Lock e Venus ransomware. Trinity ransomware sfrutta diverse strategie di attacco, tra cui email di phishing, siti web dannosi e lo sfruttamento di vulnerabilità software, adottando una strategia di doppia estorsione per colpire le vittime.