Según Mandiant, un socio de ransomware de ALPHV busca cada vez más vulnerabilidades antiguas en las instalaciones de copia de seguridad de Veritas. En realidad, las brechas se conocen desde 2021, pero muchas de ellas no se han reparado. Actualmente debería ser posible encontrar más de 8.500 instancias de copia de seguridad en la web.
Mandiant ha observado un nuevo socio de ransomware ALPHV (también conocido como ransomware BlackCat) rastreado como UNC4466 dirigido al público que enfrenta instalaciones de Veritas Backup Exec por vulnerabilidades CVE-2021-27876, CVE-2021-27877 y CVE -2021-27878 son vulnerables. Estos CVE se conocen desde marzo de 2021 y también hay parches disponibles. Sin embargo, algunos administradores aún no han implementado los parches.
8.500 instancias de Veritas Backup Exec en la red
Un servicio comercial de análisis de Internet ha identificado más de 8.500 instalaciones de instancias de Veritas Backup Exec actualmente accesibles a través de Internet. Es posible que muchos de estos sistemas no estén parcheados y, por lo tanto, sean vulnerables. Los ataques ALPHV anteriores investigados por Mandiant se basaron principalmente en credenciales robadas. Este ataque podría ser un cambio de objetivo al explotar vulnerabilidades conocidas.
ALPHV surgió en noviembre de 2021 como ransomware como servicio, que según algunos investigadores es el sucesor de BLACKMATTER y DARKSIDE ransomware. Si bien algunos operadores de ransomware han emitido reglas para evitar afectar la infraestructura crítica y las instalaciones de atención médica, ALPHV ha seguido apuntando a estas industrias sensibles.
Cronología de la vulnerabilidad de Veritas
- En marzo de 2021, Veritas publicó un aviso que informaba sobre tres vulnerabilidades críticas en Veritas Backup Exec 16.x, 20.x y 21.x.
- El 23 de septiembre de 2022 se lanzó un módulo METASPLOIT que explota estas vulnerabilidades y crea una sesión a través de la cual el atacante puede interactuar con el sistema de la víctima.
- El 22 de octubre de 2022, Mandiant observó por primera vez la explotación de las vulnerabilidades de Veritas en la naturaleza.
Los administradores definitivamente deben verificar sus instancias de Veritas Backup Exec y cerrar las brechas. Porque cada vez es más común que las vulnerabilidades antiguas sin parches sirvan como puerta de entrada para ransomware y similares. El último gran ataque a los servidores VMware ESXi también se explotó a través de una antigua vulnerabilidad en versiones no modernizadas o parcheadas.
En su blog, Mandiant muestra cuán técnicamente preciso es el ataque a las vulnerabilidades en las instalaciones de Veritas Backup Exec.
Más en Mandiant.com
Sobre el cliente Mandiant es un líder reconocido en defensa cibernética dinámica, inteligencia de amenazas y respuesta a incidentes. Con décadas de experiencia en la primera línea cibernética, Mandiant ayuda a las organizaciones a defenderse de manera segura y proactiva contra las amenazas cibernéticas y responder a los ataques. Mandiant ahora es parte de Google Cloud.