VietNetwork.Vn

Kẻ tấn công đang tích cực tìm cách khai thác lỗ hổng bảo mật đã được vá trong Veeam Backup & Replication để triển khai Akira và phần mềm tống tiền Fog.

Nhà cung cấp an ninh mạng Sophos cho biết họ đã theo dõi một loạt các cuộc tấn công trong tháng qua bằng cách lợi dụng thông tin đăng nhập VPN bị xâm phạm và CVE-2024-40711 để tạo tài khoản cục bộ và triển khai phần mềm tống tiền.


CVE-2024-40711, được đánh giá 9,8 trên 10,0 theo thang điểm CVSS, đề cập đến lỗ hổng nghiêm trọng cho phép thực thi mã từ xa không xác thực. Veeam đã giải quyết lỗ hổng này trong Backup & Replication phiên bản 12.2 vào đầu tháng 9 năm 2024.

Nhà nghiên cứu bảo mật Florian Hauser của CODE WHITE có trụ sở tại Đức được ghi nhận là người phát hiện và báo cáo những lỗ hổng bảo mật.

"Trong mỗi trường hợp, kẻ tấn công ban đầu truy cập mục tiêu bằng cách sử dụng các cổng VPN bị xâm phạm mà không bật xác thực đa yếu tố", Sophos cho biết. "Một số VPN này đang chạy các phiên bản phần mềm không được hỗ trợ".

"Mỗi lần, kẻ tấn công khai thác VEEAM trên URI /trigger trên cổng 8000, kích hoạt Veeam.Backup.MountService.exe để tạo ra net.exe. Khai thác này tạo ra một tài khoản cục bộ, 'point', thêm nó vào nhóm Quản trị viên cục bộ và Người dùng máy tính từ xa."

Trong cuộc tấn công dẫn đến việc triển khai ransomware Fog, những kẻ đe dọa được cho là đã thả ransomware vào một máy chủ Hyper-V không được bảo vệ, trong khi sử dụng tiện ích rclone để đánh cắp dữ liệu. Các đợt triển khai ransomware khác đều không thành công.

Việc khai thác tích cực CVE-2024-40711 đã thúc đẩy NHS England đưa ra khuyến cáo, trong đó lưu ý rằng "các ứng dụng sao lưu doanh nghiệp và phục hồi sau thảm họa là mục tiêu có giá trị đối với các nhóm đe dọa mạng".

Tiết lộ này được đưa ra khi Đơn vị 42 của Palo Alto Networks nêu chi tiết về phần mềm kế nhiệm của ransomware INC có tên Lynx đã hoạt động từ tháng 7 năm 2024, nhắm vào các tổ chức trong lĩnh vực bán lẻ, bất động sản, kiến trúc, tài chính và dịch vụ môi trường tại Hoa Kỳ và Vương quốc Anh.


Sự xuất hiện của Lynx được cho là bắt nguồn từ việc mã nguồn của phần mềm tống tiền INC được bán trên thị trường tội phạm ngầm vào đầu tháng 3 năm 2024, thúc đẩy tác giả phần mềm độc hại đóng gói lại và tạo ra các biến thể mới.

"Lynx ransomware chia sẻ một phần đáng kể mã nguồn với INC ransomware", Unit 42 cho biết. "INC ransomware ban đầu xuất hiện vào tháng 8 năm 2023 và có các biến thể tương thích với cả Windows và Linux".

Thông báo này cũng tuân theo khuyến cáo từ Trung tâm điều phối an ninh mạng ngành y tế (HC3) thuộc Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) rằng ít nhất một tổ chức chăm sóc sức khỏe trong nước đã trở thành nạn nhân của Trinity ransomware, một loại ransomware tương đối mới khác lần đầu tiên được biết đến vào tháng 5 năm 2024 và được cho là phiên bản đổi tên của 2023Lock và Venus ransomware.

"Đây là một loại phần mềm độc hại xâm nhập hệ thống thông qua một số vectơ tấn công, bao gồm email lừa đảo, trang web độc hại và khai thác lỗ hổng phần mềm", HC3 cho biết. "Một khi đã xâm nhập vào hệ thống, Trinity ransomware sử dụng chiến lược tống tiền kép để nhắm mục tiêu vào nạn nhân".

Một nhóm tin tặc có động cơ tài chính hoạt động từ tháng 10 năm 2022 cũng đã phát hiện ra một biến thể ransomware MedusaLocker có tên là BabyLockerKZ, với mục tiêu chủ yếu là các nước EU và Nam Mỹ.

Các nhà nghiên cứu Talos cho biết: "Kẻ tấn công này sử dụng một số công cụ tấn công được công khai và các tệp nhị phân (LoLBins), một bộ công cụ do cùng một nhà phát triển (có thể là kẻ tấn công) xây dựng để hỗ trợ đánh cắp thông tin xác thực và di chuyển ngang trong các tổ chức bị xâm phạm ".

"Những công cụ này chủ yếu là lớp bao bọc xung quanh các công cụ có sẵn công khai, bao gồm chức năng bổ sung để hợp lý hóa quy trình tấn công và cung cấp giao diện đồ họa hoặc giao diện dòng lệnh."