В настоящее время несколько вариантов программ-вымогателей нацелены на CVE, рейтинг CVSS которой составляет 9,8. Для клиентов риск эксплуатации только увеличивается.

Критическая уязвимость Veeam CVE, ставшая целью нового варианта программы-вымогателя

Wirestock через Getty Images

Краткий обзор:

  • Критическая уязвимость в Veeam Backup and Replication эксплуатируется новым вариантом программы-вымогателя, сообщила компания Sophos X-Ops в своем сообщении в блоге в пятницу.
  • Киберпреступная группа, эксплуатирующая Frag, ранее недокументированную программу-вымогатель, использовала схожую тактику, методы и процедуры, которые использовали группы угроз Akira и Fog. Эти группы были задействованы в эксплуатации той же уязвимости в прошлом месяце.
  • «Как и в предыдущих случаях, злоумышленник использовал взломанное устройство VPN для доступа, использовал уязвимость Veeam и создал новую учетную запись с именем «point», — сказал в своем блоге Шон Галлахер, главный исследователь угроз в Sophos X-Ops. — Однако в этом инциденте также была создана учетная запись «point2».

Аналитика погружения:

Veeam Backup and Replication используется предприятиями для резервного копирования, репликации и восстановления виртуальных, физических и облачных машин. Использование нескольких вариантов программ-вымогателей в атаках, связанных с эксплойтами CVE-2024-40711, только увеличивает риск, с которым сталкиваются эти клиенты.

В общей сложности Veeam заявила, что у нее более 550 000 клиентов по всему миру, включая 74% из Global 2000. Неясно, сколько организаций используют Veeam Backup and Replication.

«Мы рассматриваем это как инструмент, используемый как часть очень специфического набора тактик, методов и практик, которые, вероятно, связаны либо с брокером доступа, продающим взломанный сетевой доступ другим киберпреступникам, либо с группой независимых субъектов, использующих несколько программ-вымогателей в качестве сервисных платформ», — сказал Галлахер по электронной почте.

«В любом случае это потенциально приведет к большему количеству атак программ-вымогателей с использованием различных вредоносных программ», — сказал Галлахер. «Программа-вымогатель Frag является примером этого».

Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE-2024-40711, имеющую оценку CVSS 9,8, в свой известный каталог эксплуатируемых уязвимостей 17 октября. Уязвимость десериализации позволяет неаутентифицированному злоумышленнику выполнять удаленное выполнение кода.

Veeam не ответила на вопросы об исследовании Sophos, но повторила совет клиентам обновиться до Veeam Backup and Replication v12.2. Veeam исправила уязвимость в обновлении программного обеспечения 28 августа.

«Когда уязвимость обнаружена и раскрыта, злоумышленники все равно попытаются воспользоваться ею и провести обратную разработку исправлений, чтобы использовать уязвимость в неисправленной версии программного обеспечения Veeam в своих попытках эксплуатации», — сообщила Хайди Монро Крофт, старший директор по корпоративным коммуникациям и глобальным связям с общественностью Veeam, в своем электронном письме в понедельник.