Tehdit aktörleri Veeam Backup & Replication yazılımındaki kritik bir güvenlik açığından aktif olarak yararlanarak “Frag” adı verilen yeni bir fidye yazılımı türü dağıtıyor.
CVE-2024-40711 olarak takip edilen güvenlik açığı, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veriyor ve CVSS ölçeğinde 10 üzerinden 9,8 önem derecesine sahip.
Sophos X-Ops araştırmacıları, saldırıların STAC 5881 adını verdikleri bir tehdit faaliyeti kümesinin parçası olduğunu bildirdi.
Yönetilen Tespit ve Yanıt Satın Alma Kılavuzu – Ücretsiz İndirin (PDF)
Bu grup, ağlara ilk erişim sağlamak için güvenliği ihlal edilmiş VPN cihazlarından yararlanıyor ve ardından hileli yönetici hesapları oluşturmak için Veeam’in güvenlik açığından yararlanıyor.
Kritik kusur, Veeam Backup & Replication sürüm 12.1.2.172 ve önceki sürümleri etkiliyor. Global 2000 şirketlerinin %74’ü de dahil olmak üzere dünya çapında 550.000’den fazla müşteri tarafından kullanılan popüler bir yedekleme çözümü olan Veeam, Eylül 2024’ün başlarında güvenlik açığına yönelik yamalar yayınladı.
Daha önce STAC 5881’in Akira ve Fog fidye yazılımı varyantlarını dağıttığı gözlemlenmişti. Ancak yakın zamanda yaşanan bir olayda Sophos araştırmacıları, Frag adı verilen yeni ve daha önce belgelenmemiş bir fidye yazılımının kullanıldığını tespit etti.
Sophos X-Ops’un baş tehdit araştırmacısı Sean Gallagher şunları söyledi: “Önceki olaylara benzer şekilde, tehdit aktörü erişim için güvenliği ihlal edilmiş bir VPN cihazı kullanmış, Veeam güvenlik açığından yararlanmış ve ‘point’ adında yeni bir hesap oluşturmuştur. Ancak bu olayda ‘point2’ hesabı da oluşturuldu.”
Frag fidye yazılımı komut satırı aracılığıyla yürütülür ve saldırganların dosya şifreleme için bir yüzde belirlemesini gerektirir. Şifrelenmiş dosyalara “.frag” uzantısını ekler. Sophos, o zamandan beri uç nokta koruma yazılımına Frag ikili dosyası için algılama yetenekleri ekledi.
Araştırmacılar, Frag operatörleri ile Akira ve Fog fidye yazılımının arkasındakiler arasında benzer taktik, teknik ve uygulamalara dikkat çekti. Bu, yerleşik taktikleri benimseyen yeni bir oyuncunun olası bir bağlantısına veya ortaya çıkmasına işaret ediyor.
CVE-2024-40711’in kötüye kullanılması, saldırganların fidye yazılımı kampanyalarının etkisini en üst düzeye çıkarmak için yedekleme çözümlerini hedef alma modelini takip ediyor. Tehdit aktörleri, yedekleme sistemlerinden ödün vererek kurbanların fidye ödemeden verilerini kolayca kurtarmasını engellemeyi amaçlıyor.
Siber güvenlik uzmanları, Veeam Backup & Replication kullanan kuruluşların en son güvenlik güncellemelerini hemen uygulamalarını şiddetle tavsiye ediyor.
Ayrıca, mümkün olduğunda yedekleme sunucularının internetten izole edilmesini, yönetim erişimi için çok faktörlü kimlik doğrulamanın zorunlu kılınmasını ve olağandışı etkinlikleri tespit etmek için kapsamlı izleme uygulanmasını da öneriyorlar.
Fidye yazılımı grupları taktiklerini geliştirmeye ve kritik altyapıyı hedeflemeye devam ederken, Frag gibi yeni varyantlar, sağlam siber güvenlik önlemlerine ve bilinen güvenlik açıklarının hızlı bir şekilde kapatılmasına yönelik devam eden ihtiyacın altını çiziyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!