Secondo Mandiant, un ransomware partner di ALPHV è sempre più alla ricerca di vecchie vulnerabilità nelle installazioni di backup di Veritas. Le lacune sono effettivamente note dal 2021, ma molte di esse non sono state colmate. Attualmente dovrebbe essere possibile trovare oltre 8.500 istanze di backup sul web.
Mandiant ha osservato che un nuovo partner ransomware ALPHV (noto anche come BlackCat ransomware) tracciato come UNC4466 prende di mira le installazioni pubbliche di Veritas Backup Exec per le vulnerabilità CVE-2021-27876, CVE-2021-27877 e CVE -2021-27878 che sono vulnerabili. Questi CVE sono noti da marzo 2021 e sono disponibili anche le patch. Tuttavia, alcuni amministratori non hanno ancora implementato le patch.
8.500 istanze di Veritas Backup Exec nella rete
Un servizio di scansione Internet commerciale ha identificato oltre 8.500 installazioni di istanze di Veritas Backup Exec attualmente accessibili tramite Internet. È possibile che molti di questi sistemi siano privi di patch e quindi vulnerabili. I precedenti attacchi ALPHV indagati da Mandiant si basavano principalmente su credenziali rubate. Questo attacco potrebbe essere uno spostamento dell'obiettivo sfruttando le vulnerabilità note.
ALPHV è emerso nel novembre 2021 come ransomware-as-a-service, che secondo alcuni ricercatori è il successore di BLACKMATTER e DARKSIDE ransomware. Sebbene alcuni operatori di ransomware abbiano emanato regole per evitare di incidere sulle infrastrutture critiche e sulle strutture sanitarie, ALPHV ha continuato a prendere di mira questi settori sensibili.
Cronologia delle vulnerabilità di Veritas
- Nel marzo 2021, Veritas ha rilasciato un avviso che segnalava tre vulnerabilità critiche in Veritas Backup Exec 16.x, 20.x e 21.x.
- Il 23 settembre 2022 è stato rilasciato un modulo METASPLOIT che sfrutta queste vulnerabilità e crea una sessione attraverso la quale l'attaccante può interagire con il sistema vittima.
- Il 22 ottobre 2022, Mandiant ha osservato per la prima volta lo sfruttamento delle vulnerabilità di Veritas in natura.
Gli amministratori dovrebbero assolutamente controllare le proprie istanze di Veritas Backup Exec e colmare le lacune. Perché sta diventando sempre più comune che le vecchie vulnerabilità senza patch fungano da gateway per ransomware e simili. Anche l'ultimo grande attacco ai server VMware ESXi è stato sfruttato attraverso una vecchia vulnerabilità nelle versioni non modernizzate o con patch.
Nel suo blog, Mandiant mostra quanto sia tecnicamente accurato l'attacco alle vulnerabilità nelle installazioni di Veritas Backup Exec.
Altro su Mandiant.com
A proposito di clienti Mandiant è un leader riconosciuto nella difesa informatica dinamica, nell'intelligence sulle minacce e nella risposta agli incidenti. Con decenni di esperienza sul fronte informatico, Mandiant aiuta le organizzazioni a difendersi in modo sicuro e proattivo dalle minacce informatiche e a rispondere agli attacchi. Mandiant fa ora parte di Google Cloud.