Новости Лазейки в Veeam: Akira и Fog атакуют корпоративные данные

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Резервные копии компаний оказались под прицелом вымогателей.


nbodvojgscmgychtxcszk4ud43fvzs7t.jpg


Исследователи безопасности из компании Sophos X-Ops Для просмотра ссылки Войди или Зарегистрируйся что хакерские группировки начали активно использовать критическую уязвимость в системе Veeam Backup & Replication (VBR), позволяющую злоумышленникам удалённо выполнять код на уязвимых серверах.

Недостаток безопасности, зарегистрированный как Для просмотра ссылки Войди или Зарегистрируйся ранее был выявлен исследователем безопасности Флорианом Хаузером. Уязвимость связана с десериализацией недоверенных данных, что позволяет злоумышленникам без аутентификации проводить атаки с низким уровнем сложности.

Veeam Для просмотра ссылки Войди или Зарегистрируйся и выпустила обновления безопасности 4 сентября 2024 года. Позже технический анализ уязвимости Для просмотра ссылки Войди или Зарегистрируйся экспертами из watchTowr Labs , однако они отложили выпуск кода доказательства концепции до 15 сентября, чтобы дать администраторам время для устранения угрозы.

VBR является популярным решением для защиты данных и восстановления после сбоев, что делает его приоритетной целью для хакеров, стремящихся получить доступ к резервным копиям компаний. За последний месяц специалисты из Sophos X-Ops установили, что уязвимость CVE-2024-40711 активно используется в атаках с применением программ-вымогателей Akira и Fog. Злоумышленники, получив доступ с помощью скомпрометированных учётных данных, создавали локальные учётные записи с правами администратора и пользователей удалённого рабочего стола.

В одном из случаев хакеры использовали Fog для атаки на сервер Hyper-V, а затем использовали утилиту rclone для эксфильтрации данных. В аналогичный период была предпринята попытка развернуть программу Akira. Примечательно, что все эти случаи имели схожие индикаторы с более ранними атаками с использованием данных вымогателей.

Отмечается, что ранее, в марте 2023 года, Veeam уже устраняла другую уязвимость — Для просмотра ссылки Войди или Зарегистрируйся которая также использовалась для атак на инфраструктуру резервного копирования. Тогда уязвимость была замечена в атаках группы FIN7, связанной с известными операциями по распространению программ-вымогателей Conti, REvil и других.

Продукты Veeam используются более чем полумиллионом клиентов по всему миру, включая 74% компаний из списка Global 2000. Это подчёркивает критичность атак на VBR, поскольку компрометация такого широко используемого ПО может привести к масштабным утечкам данных и нарушению работы крупных организаций по всему миру.
 
Источник новости
www.securitylab.ru

Похожие темы