InforSec News: Lỗ hổng nghiêm trọng của Veeam bị khai thác để phát tán ransomware Akira và Fog

Top Block Position

Lỗ hổng nghiêm trọng của Veeam bị khai thác để phát tán ransomware Akira và Fog

Các tác nhân đe dọa đang tích cực cố gắng khai thác lỗ hổng bảo mật hiện đã được vá trong Veeam Backup & Replication để triển khai phần mềm ransomware Akira và Fog.

Nhà cung cấp an ninh mạng Sophos cho biết họ đã theo dõi một loạt cuộc tấn công trong tháng qua bằng cách lợi dụng thông tin đăng nhập VPN bị xâm phạm và CVE-2024-40711 để tạo tài khoản cục bộ và triển khai phần mềm ransomware.

CVE-2024-40711 (CVSS: 9.8), đề cập đến một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa không được xác thực. Sự cố này đã được Veeam giải quyết trong phiên bản Backup & Replication 12.2 vào đầu tháng 9 năm 2024. Trong mỗi trường hợp, những kẻ tấn công ban đầu truy cập các mục tiêu bằng cách sử dụng các cổng VPN bị xâm nhập mà không bật xác thực đa yếu tố. Một số VPN này đang chạy các phiên bản phần mềm không được hỗ trợ.

Mỗi lần như vậy, những kẻ tấn công đều khai thác VEEAM trên URI /trigger trên cổng 8000, kích hoạt Veeam.Backup.MountService.exe để sinh ra net.exe. Việc khai thác tạo ra một tài khoản cục bộ, thêm nó vào nhóm local Administrators and Remote Desktop Users. Trong cuộc tấn công dẫn đến việc triển khai ransomware Fog, các tác nhân đe dọa được cho là đã thả ransomware vào máy chủ Hyper-V không được bảo vệ, đồng thời sử dụng tiện ích rclone để lọc dữ liệu. Các lần triển khai ransomware khác đều không thành công. Việc khai thác tích cực CVE-2024-40711 đã khiến NHS England đưa ra lời khuyên, trong đó lưu ý rằng “các ứng dụng sao lưu và khắc phục sự cố của doanh nghiệp là mục tiêu có giá trị cho các nhóm đe dọa mạng”.

Tiết lộ được đưa ra khi Palo Alto Networks Unit 42 trình bày chi tiết về ransomware INC có tên Lynx đã hoạt động từ tháng 7/2024, nhắm mục tiêu vào các tổ chức trong lĩnh vực bán lẻ, bất động sản, kiến trúc, tài chính và dịch vụ môi trường ở Mỹ và Anh.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học