Veeam'in kritik güvenlik açığı Akira ve Fog fidye yazılımını yaymak için kullanıldı
Tehdit aktörleri, Akira ve Fog fidye yazılımlarını dağıtmak için Veeam Backup & Replication'da şu anda yama uygulanmış bir güvenlik açığından aktif olarak yararlanmaya çalışıyor.
Siber güvenlik satıcısı Sophos, geçen ay yerel bir hesap oluşturmak ve fidye yazılımını dağıtmak için güvenliği ihlal edilmiş VPN kimlik bilgilerini ve CVE-2024-40711'i kullanarak bir dizi saldırıyı izlediğini söyledi.
CVSS ölçeğinde 10,0 üzerinden 9,8 olarak derecelendirilen CVE-2024-40711, kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığını ifade eder. Veeam tarafından Eylül 2024'ün başlarında Backup & Replication sürüm 12.2'de bu sorunu ele alındı.
Almanya merkezli CODE WHITE'dan güvenlik araştırmacısı Florian Hauser, güvenlik açığını keşfetme ve bildirme konusunda kredilendirildi.
Sophos, "Vakaların her birinde, saldırganlar başlangıçta çok faktörlü kimlik doğrulama etkinleştirilmeden güvenliği ihlal edilmiş VPN ağ geçitlerini kullanarak hedeflere erişti" dedi. "Bu VPN'lerden bazıları desteklenmeyen yazılım sürümlerini çalıştırıyordu."
"Saldırganlar her seferinde 8000 numaralı bağlantı noktasındaki URI /trigger'da VEEAM'den yararlandı ve Veeam.Backup.MountService.exe net.exe ortaya çıkarmasını tetikledi. İstismar, yerel Yöneticiler ve Uzak Masaüstü Kullanıcıları gruplarına ekleyen yerel bir hesap oluşturur, 'nokta'.
Fog fidye yazılımı dağıtımına yol açan saldırıda, tehdit aktörlerinin fidye yazılımını korumasız bir Hyper-V sunucusuna bıraktığı ve veri sızdırmak için rclone yardımcı programını kullandığı söyleniyor. Diğer fidye yazılımı dağıtımları başarısız oldu.
CVE-2024-40711'in aktif olarak kullanılması, NHS İngiltere'den "kurumsal yedekleme ve felaket kurtarma uygulamalarının siber tehdit grupları için değerli hedefler olduğunu" belirten bir tavsiyeye yol açtı.
Açıklama, Palo Alto Networks Unit 42'nin, Temmuz 2024'ten beri aktif olan ve ABD ve Birleşik Krallık'taki perakende, gayrimenkul, mimari, finans ve çevre hizmetleri sektörlerindeki kuruluşları hedef alan Lynx adlı INC fidye yazılımının halefini detaylandırmasının ardından geldi.
Lynx'in ortaya çıkışının, INC fidye yazılımının kaynak kodunun Mart 2024 gibi erken bir tarihte suç yeraltı pazarında satılmasıyla teşvik edildiği ve kötü amaçlı yazılım yazarlarının dolabı yeniden paketlemeye ve yeni varyantlar oluşturmasına neden olduğu söyleniyor.
Unit 42, "Lynx fidye yazılımı, kaynak kodunun önemli bir bölümünü INC fidye yazılımıyla paylaşıyor" dedi. "INC fidye yazılımı ilk olarak Ağustos 2023'te ortaya çıktı ve hem Windows hem de Linux ile uyumlu varyantlara sahipti."
Ayrıca, ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi'nin (HC3), ülkedeki en az bir sağlık kuruluşunun, ilk olarak Mayıs 2024'te tanınan ve 2023Lock ve Venus fidye yazılımının yeniden markası olduğuna inanılan nispeten yeni bir fidye yazılımı oyuncusu olan Trinity fidye yazılımının kurbanı olduğuna dair bir tavsiyesini takip ediyor.
HC3, "Kimlik avı e-postaları, kötü amaçlı web siteleri ve yazılım güvenlik açıklarından yararlanma dahil olmak üzere çeşitli saldırı vektörleri aracılığıyla sistemlere sızan bir tür kötü amaçlı yazılımdır" dedi. "Sisteme girdikten sonra, Trinity fidye yazılımı kurbanlarını hedef almak için çifte gasp stratejisi kullanıyor."
Siber saldırıların ayrıca, Ekim 2022'den bu yana aktif olduğu bilinen ve hedefleri öncelikle AB ülkeleri ve Güney Amerika'da bulunan finansal olarak motive olmuş bir tehdit aktörü tarafından BabyLockerKZ olarak adlandırılan bir MedusaLocker fidye yazılımı varyantı sağladığı gözlemlendi.
Talos araştırmacıları, "Bu saldırgan, güvenliği ihlal edilmiş kuruluşlarda kimlik bilgisi hırsızlığına ve yanal harekete yardımcı olmak için aynı geliştirici (muhtemelen saldırgan) tarafından oluşturulan bir dizi araç olan kamuya açık birkaç saldırı aracı ve karada yaşayan ikili dosyalar (LoLBins) kullanıyor" dedi.
"Bu araçlar çoğunlukla, saldırı sürecini kolaylaştırmak ve grafik veya komut satırı arayüzleri sağlamak için ek işlevler içeren halka açık araçların etrafındaki sarmalayıcılardır."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Pwn2Own Ireland 2024'te 1 Milyon Doların Üzerinde Ödeme Yapıldı
Araştırmacılar Wi-Fi Alliance'ın Test Paketinde Komut Enjeksiyon Kusurunu Keşfetti
AWS Cloud Development Kit Güvenlik Açığı, Kullanıcıları Potansiyel Hesap Ele Geçirme Risklerine Maruz Bırakır
Cisco, Aktif Saldırı Altında ASA ve FTD Yazılım Güvenlik Açığı için Acil Düzeltme Yayınladı
Fortinet, Aktif Sömürü Altında FortiManager'daki Kritik Güvenlik Açığı Konusunda Uyardı
CISA, Microsoft SharePoint Güvenlik Açığından Aktif Olarak Yararlanıldığına Karşı Uyardı (CVE-2024-38094)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
VMware, Kritik RCE Güvenlik Açığını Düzeltmek için vCenter Server Güncellemesini Yayınladı