Tehdit aktörleri, Akira ve Fog fidye yazılımını dağıtmak için Veeam Backup & Replication’daki yamalanmış bir güvenlik açığından aktif olarak yararlanmaya çalışıyor.
Siber güvenlik tedarikçisi Sophos, geçtiğimiz ay yerel bir hesap oluşturmak ve fidye yazılımını dağıtmak için ele geçirilen VPN kimlik bilgilerinden ve CVE-2024-40711’den yararlanan bir dizi saldırıyı takip ettiğini söyledi.
CVSS ölçeğinde 10,0 üzerinden 9,8 olarak derecelendirilen CVE-2024-40711, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığını ifade eder. Bu sorun Veeam tarafından Eylül 2024’ün başlarında Backup & Replication sürüm 12.2’de giderildi.
Almanya merkezli CODE WHITE’tan güvenlik araştırmacısı Florian Hauser, güvenlik eksikliklerini keşfetme ve raporlama konusunda itibar kazandı.
Sophos, “Bu vakaların her birinde, saldırganlar başlangıçta çok faktörlü kimlik doğrulamayı etkinleştirmeden güvenliği ihlal edilmiş VPN ağ geçitlerini kullanarak hedeflere erişti” dedi. “Bu VPN’lerden bazıları desteklenmeyen yazılım sürümlerini çalıştırıyordu.”
“Saldırganlar her seferinde 8000 numaralı bağlantı noktasındaki URI /trigger üzerinde VEEAM’den yararlanarak Veeam.Backup.MountService.exe dosyasının net.exe’yi oluşturmasını tetikledi. Bu istismar yerel bir ‘point’ hesabı oluşturarak onu yerel Yöneticilere ekler ve Uzak Masaüstü Kullanıcıları grupları.”
Fog fidye yazılımının konuşlandırılmasına yol açan saldırıda, tehdit aktörlerinin veri sızdırmak için rclone yardımcı programını kullanırken fidye yazılımını korumasız bir Hyper-V sunucusuna bıraktıkları söyleniyor. Diğer fidye yazılımı dağıtımları başarısız oldu.
CVE-2024-40711’in aktif olarak kullanılması, NHS İngiltere’nin “kurumsal yedekleme ve felaket kurtarma uygulamalarının siber tehdit grupları için değerli hedefler olduğunu” belirten bir tavsiye kararı almasına yol açtı.
Açıklama, Palo Alto Networks Birim 42’nin, Temmuz 2024’ten bu yana aktif olan ve ABD ve İngiltere’deki perakende, emlak, mimari, finans ve çevre hizmetleri sektörlerindeki kuruluşları hedef alan Lynx adlı INC fidye yazılımının halefi hakkında ayrıntılı bilgi vermesiyle geldi.
Lynx’in ortaya çıkışının, INC fidye yazılımının kaynak kodunun Mart 2024 gibi erken bir tarihte yer altı suç piyasasında satılmasıyla teşvik edildiği ve kötü amaçlı yazılım yazarlarının dolabı yeniden paketlemesine ve yeni varyantlar üretmesine yol açtığı söyleniyor.
Unit 42, “Lynx fidye yazılımı, kaynak kodunun önemli bir bölümünü INC fidye yazılımıyla paylaşıyor” dedi. “INC fidye yazılımı ilk olarak Ağustos 2023’te ortaya çıktı ve hem Windows hem de Linux ile uyumlu varyantları vardı.”
Bu aynı zamanda ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS) Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nin (HC3), ülkedeki en az bir sağlık kuruluşunun, ilk kez bilinen nispeten yeni bir fidye yazılımı oyuncusu olan Trinity fidye yazılımının kurbanı olduğu yönündeki tavsiyesini takip ediyor. Mayıs 2024’te ortaya çıkan fidye yazılımının 2023Lock ve Venus fidye yazılımının yeniden markası olduğuna inanılıyor.
HC3, “Bu, kimlik avı e-postaları, kötü amaçlı web siteleri ve yazılım açıklarından yararlanma da dahil olmak üzere çeşitli saldırı vektörleri yoluyla sistemlere sızan bir tür kötü amaçlı yazılımdır” dedi. “Sisteme girdikten sonra Trinity fidye yazılımı kurbanlarını hedef almak için çifte gasp stratejisi kullanıyor.”
Siber saldırıların, Ekim 2022’den bu yana aktif olduğu bilinen mali motivasyonlu bir tehdit aktörü tarafından BabyLockerKZ olarak adlandırılan bir MedusaLocker fidye yazılımı çeşidini sağladığı ve hedeflerin öncelikle AB ülkeleri ve Güney Amerika’da olduğu da gözlemlendi.
Talos, “Bu saldırgan, herkesçe bilinen çeşitli saldırı araçlarını ve arazide yaşayan ikili dosyaları (LoLBins) kullanıyor; bu araçlar, aynı geliştirici (muhtemelen saldırgan) tarafından, güvenliği ihlal edilmiş kuruluşlarda kimlik bilgileri hırsızlığına ve yanal harekete yardımcı olmak için oluşturulmuş bir dizi araç.” araştırmacılar söyledi.
“Bu araçlar çoğunlukla, saldırı sürecini kolaylaştırmak ve grafiksel veya komut satırı arayüzleri sağlamak için ek işlevler içeren, halka açık araçların etrafındaki sarmalayıcılardır.”