Новости Frag: новая атака на Veeam обнуляет резервные копии корпораций

NewsMaker

I'm just a script
Премиум
13,844
20
8 Ноя 2022
Неизвестный ранее вирус быстро распространяется по критическим инфраструктурам.


195g2hsgjs7jxodi2fgoudnnepeyeme0.jpg


Киберпреступники начали активно использовать уязвимость в популярном программном обеспечении Veeam Backup & Replication для распространения нового вымогательского ПО под названием «Frag». Уязвимость с идентификатором Для просмотра ссылки Войди или Зарегистрируйся позволяет удалённое выполнение кода без аутентификации и имеет критический уровень опасности — 9,8 из 10 по шкале CVSS.

Исследователи Sophos X-Ops Для просмотра ссылки Войди или Зарегистрируйся что атаки связаны с активностью группировки, обозначенной как STAC 5881. Эти хакеры для проникновения в сети используют уязвимые VPN-устройства, а затем применяют эксплойт для Veeam, чтобы создать фальшивые учётные записи администратора.

Проблема затрагивает версии Veeam Backup & Replication до 12.1.2.172 включительно. Veeam — это популярное решение для резервного копирования, которым пользуются более 550 000 клиентов по всему миру, включая 74% компаний из списка Global 2000. Патчи для устранения уязвимости были выпущены в начале сентября 2024 года.

Ранее группировка STAC 5881 использовала известные вирусы-вымогатели Akira и Fog. Атаки с использованием ранее неизвестного вредоноса Frag были выявлены лишь совсем недавно. По словам ведущего исследователя Sophos X-Ops Шона Галлахера, схема атак остаётся прежней: злоумышленники сначала получают доступ через уязвимый VPN, затем используют уязвимость Veeam и создают учётные записи «point» и «point2».

Frag выполняется через командную строку и требует указания тщательности шифрования файлов в процентах. Все зашифрованные документы получают расширение «.frag». Sophos уже включила поддержку обнаружения этого вредоносного ПО в свои средства защиты конечных точек.

Пользователям Veeam Backup & Replication рекомендуется немедленно установить последние обновления. Также стоит изолировать серверы резервного копирования от Интернета, применять многофакторную аутентификацию и использовать мониторинг для обнаружения подозрительной активности.
 
Источник новости
www.securitylab.ru

Похожие темы