Ransomware Frag Usa Falha no Veeam

Ransomware Frag Usa Falha no Veeam Para Criptografar Servidores.

Sophos X-Ops relatou que agentes de ameaças exploraram uma vulnerabilidade nos servidores de backup da Veeam. Continuamos a rastrear as atividades desse cluster de ameaças, que recentemente incluiu a implantação de um novo ransomware. A vulnerabilidade, CVE-2024-40711, foi usada como parte de um cluster de atividades de ameaças que chamamos de STAC 5881. Os ataques aproveitaram dispositivos VPN comprometidos para acesso e usaram a vulnerabilidade VEEAM para criar uma nova conta de administrador local chamada “point”.

Alguns casos neste cluster levaram à implantação do ransomware Akira ou Fog. Akira foi visto pela primeira vez em 2023; seu site de vazamento ficou offline brevemente em outubro, mas voltou a ficar online e continuamos a ver ataques Akira. A névoa surgiu no início deste ano, vista pela primeira vez em maio. Em um caso recente, os analistas da MDR mais uma vez observaram as táticas associadas ao STAC 5881 – mas desta vez observaram a implantação de um ransomware anteriormente não documentado chamado “Frag”.

Figura 1: A nota de resgate do Frag.

Semelhante aos eventos anteriores, o agente da ameaça usou um dispositivo VPN comprometido para acesso, aproveitou a vulnerabilidade VEEAM e criou uma nova conta chamada ‘point’.
No entanto, neste incidente, uma conta ‘point2’ também foi criada.

O Frag é executado na linha de comando com vários parâmetros, sendo um obrigatório: porcentagem de criptografia de arquivos. O invasor pode especificar diretórios ou arquivos individuais para criptografar.

Quando criptografados, os arquivos recebem uma extensão .frag. Nesse caso, o ransomware foi bloqueado pelo recurso CryptoGuard da Sophos Endpoint Protection. Uma detecção para o binário do ransomware foi adicionada desde então.

A semelhança nas táticas, técnicas e práticas do ator por trás do Frag com as usadas pelos agentes de ameaças Akira e Fog também foi observada pelo Agger Labs. O Sophos X-Ops está monitorando de perto esse possível surgimento de um novo player de ransomware com comportamentos vistos anteriormente no ransomware Akira, “continuamos a rastrear esse comportamento de ameaça”, afirma o Sophos X-Ops.

Fonte: Sophos

Veja também:

• Número de ciberataques cresce 95% no Brasil
• Cresce o volume de ações na Justiça ligadas a SI
• Wi-Fi falso rouba dados de passageiros em voos
• Black Friday 2024: cuidado com os golpes online  
• 5 aspectos de segurança para o momento de contratar um data center
• NETSCOUT faz recomendações de Cibersegurança
• Museum of Malware Art (MuMa)
• 72 Hours to Audit-Ready API Security: A Proven Framework
• Ransomware “à prova da computação quântica”
• CAPTCHAs falsos
• Fraude na era digital: como a tecnologia está reinventando as ameaças e as proteções
• Golpes em hospedagem ameaçam roubo de dados bancários