De vorige maand ontdekte en gepatchte kwetsbaarheid in Veeam Backup & Replication (VBR) blijkt gevoelig voor Akira en Fog. Hackers hebben met behulp van deze ransomware-varianten de afgelopen maand meerdere aanvallen uitgevoerd, ontdekten security-experts van Sophos.
Hackers wisten de afgelopen maand succesvolle aanvallen uit te voeren via een in september ontdekte kwetsbaarheid in VBR-servers. De betreffende kwetsbaarheid, CVE-2024-40711, was al sinds begin september bekend en wordt veroorzaakt door deserialisatie van niet-vertrouwde data, wat niet-geauthenticeerde hackers kunnen misbruiken voor relatief eenvoudige aanvallen.
Akira- en Fog-aanvallen snel uitgevoerd
Hoewel Veeam de kwetsbaarheid snel heeft gepatcht, hebben hackers toch genoeg tijd gehad om deze te misbruiken. Het blijkt dat vooral aanvallen met Akira- en Fog-ransomware zich snel hebben voorgedaan.
Volgens de onderzoekers van Sophos werden de aanvallen vaak uitgevoerd in combinatie met eerder gecompromitteerde inloggegevens. Dit stelde de aanvallers in staat om een zogenoemd ‘point lokaal account’ toe te voegen aan de lokale admin- en remote desktop user groups binnen Veeam VBR.
Bij sommige aanvallen werd Fog-ransomware geïnstalleerd, bij andere Akira-ransomware. Sophos geeft aan dat dit in lijn is met eerdere aanvallen waarbij deze ransomwarevarianten zijn ingezet.
In elk van de vier gedetecteerde gevallen kregen de aanvallers toegang via gecompromitteerde VPN-gateways die geen multifactor-authenticatie hadden ingeschakeld. Daarnaast draaiden sommige van deze VPN-gateways op niet-ondersteunde (verouderde) softwareversies.
Bij het incident waarbij Fog-ransomware werd geïnstalleerd, was de aanval gericht op een niet-beschermde Hyper-V-server. Na de aanval wisten de hackers data te exfiltreren via de utility rclone.
Lees ook: Veeam getroffen door kritieke kwetsbaarheden, patchen nodig