Un nuovo gruppo ransomware denominato EstateRansomware sta colpendo le aziende sfruttando una vulnerabilità precedentemente corretta nel software Veeam Backup & Replication (CVE-2023-27532).
Tecniche di attacco di EstateRansomware
Group-IB, società con sede a Singapore che ha scoperto la minaccia ad aprile 2024, ha rivelato che gli attacchi iniziano con lo sfruttamento della vulnerabilità CVE-2023-27532 per compiere attività malevole.
L’accesso iniziale all’ambiente bersaglio avviene tramite una falla in un dispositivo VPN SSL di Fortinet FortiGate utilizzando un account dormiente.
“L’attore della minaccia si è spostato lateralmente dal firewall FortiGate attraverso il servizio VPN SSL per accedere al failover server”, ha affermato oggi il ricercatore di sicurezza Yeo Zi Wei in un’analisi.
“Prima dell’attacco ransomware, ad aprile 2024 sono stati individuati tentativi di forza bruta sulla VPN utilizzando un account dormiente identificato come ‘Acc1’. Pochi giorni dopo, un accesso VPN riuscito con ‘Acc1’ è stato ricondotto all’indirizzo IP remoto 149.28.106[.]252.”
A questo punto, gli aggressori stabiliscono connessioni RDP dal firewall al failover server, per poi implementare una backdoor persistente chiamata “svchost.exe” che viene eseguita quotidianamente tramite un’attività pianificata.
L’accesso successivo alla rete viene ottenuto utilizzando la backdoor per eludere il rilevamento. Lo scopo principale della backdoor è quello di connettersi a un server di comando e controllo (C2) tramite HTTP ed eseguire comandi arbitrari impartiti dall’attaccante.
Group-IB afferma di aver osservato l’attore sfruttare la falla CVE-2023-27532 in Veeam con l’obiettivo di abilitare xp_cmdshell sul server di backup e creare un account utente fittizio chiamato “VeeamBkp”. Contestualmente, vengono condotte attività di scansione della rete, enumerazione e raccolta credenziali utilizzando strumenti come NetScan, AdFind e NitSoft tramite il nuovo account creato.
“Questo exploit potrebbe aver coinvolto un attacco originato dalla cartella VeeamHax sul file server contro la versione vulnerabile di Veeam Backup & Replication installata sul server di backup”, ha ipotizzato Zi Wei.
“Questa attività ha facilitato l’attivazione della stored procedure xp_cmdshell e la successiva creazione dell’account ‘VeeamBkp’.”
L’attacco si conclude con il deployment del ransomware, ma non prima di aver disabilitato le difese e spostato lateralmente dall’AD server a tutti gli altri server e workstation utilizzando account di dominio compromessi.
“Windows Defender è stato disabilitato in modo permanente utilizzando DC.exe [Defender Control], seguito dall’implementazione e dall’esecuzione del ransomware con PsExec.exe”, ha affermato Group-IB.
Consigli per la sicurezza informatica
È fondamentale applicare le patch di sicurezza tempestivamente, soprattutto per i sistemi esposti a internet.
Implementare solide politiche di password e l’autenticazione a due fattori.
Monitorare regolarmente le reti alla ricerca di attività sospette.
Eseguire backup dei dati in modo sicuro e garantirne l’isolamento dalla rete.