- 13,854
- 20
- 8 Ноя 2022
Резервные копии компаний оказались под прицелом вымогателей.
Исследователи безопасности из компании Sophos X-Ops Для просмотра ссылки Войдиили Зарегистрируйся что хакерские группировки начали активно использовать критическую уязвимость в системе Veeam Backup & Replication (VBR), позволяющую злоумышленникам удалённо выполнять код на уязвимых серверах.
Недостаток безопасности, зарегистрированный как Для просмотра ссылки Войдиили Зарегистрируйся ранее был выявлен исследователем безопасности Флорианом Хаузером. Уязвимость связана с десериализацией недоверенных данных, что позволяет злоумышленникам без аутентификации проводить атаки с низким уровнем сложности.
Veeam Для просмотра ссылки Войдиили Зарегистрируйся и выпустила обновления безопасности 4 сентября 2024 года. Позже технический анализ уязвимости Для просмотра ссылки Войди или Зарегистрируйся экспертами из watchTowr Labs , однако они отложили выпуск кода доказательства концепции до 15 сентября, чтобы дать администраторам время для устранения угрозы.
VBR является популярным решением для защиты данных и восстановления после сбоев, что делает его приоритетной целью для хакеров, стремящихся получить доступ к резервным копиям компаний. За последний месяц специалисты из Sophos X-Ops установили, что уязвимость CVE-2024-40711 активно используется в атаках с применением программ-вымогателей Akira и Fog. Злоумышленники, получив доступ с помощью скомпрометированных учётных данных, создавали локальные учётные записи с правами администратора и пользователей удалённого рабочего стола.
В одном из случаев хакеры использовали Fog для атаки на сервер Hyper-V, а затем использовали утилиту rclone для эксфильтрации данных. В аналогичный период была предпринята попытка развернуть программу Akira. Примечательно, что все эти случаи имели схожие индикаторы с более ранними атаками с использованием данных вымогателей.
Отмечается, что ранее, в марте 2023 года, Veeam уже устраняла другую уязвимость — Для просмотра ссылки Войдиили Зарегистрируйся которая также использовалась для атак на инфраструктуру резервного копирования. Тогда уязвимость была замечена в атаках группы FIN7, связанной с известными операциями по распространению программ-вымогателей Conti, REvil и других.
Продукты Veeam используются более чем полумиллионом клиентов по всему миру, включая 74% компаний из списка Global 2000. Это подчёркивает критичность атак на VBR, поскольку компрометация такого широко используемого ПО может привести к масштабным утечкам данных и нарушению работы крупных организаций по всему миру.
Исследователи безопасности из компании Sophos X-Ops Для просмотра ссылки Войди
Недостаток безопасности, зарегистрированный как Для просмотра ссылки Войди
Veeam Для просмотра ссылки Войди
VBR является популярным решением для защиты данных и восстановления после сбоев, что делает его приоритетной целью для хакеров, стремящихся получить доступ к резервным копиям компаний. За последний месяц специалисты из Sophos X-Ops установили, что уязвимость CVE-2024-40711 активно используется в атаках с применением программ-вымогателей Akira и Fog. Злоумышленники, получив доступ с помощью скомпрометированных учётных данных, создавали локальные учётные записи с правами администратора и пользователей удалённого рабочего стола.
В одном из случаев хакеры использовали Fog для атаки на сервер Hyper-V, а затем использовали утилиту rclone для эксфильтрации данных. В аналогичный период была предпринята попытка развернуть программу Akira. Примечательно, что все эти случаи имели схожие индикаторы с более ранними атаками с использованием данных вымогателей.
Отмечается, что ранее, в марте 2023 года, Veeam уже устраняла другую уязвимость — Для просмотра ссылки Войди
Продукты Veeam используются более чем полумиллионом клиентов по всему миру, включая 74% компаний из списка Global 2000. Это подчёркивает критичность атак на VBR, поскольку компрометация такого широко используемого ПО может привести к масштабным утечкам данных и нарушению работы крупных организаций по всему миру.
- Источник новости
- www.securitylab.ru
