De acordo com a Mandiant, um ransomware parceiro da ALPHV está cada vez mais procurando vulnerabilidades antigas nas instalações de backup da Veritas. As lacunas são conhecidas desde 2021 – mas muitas delas não foram corrigidas. Atualmente, deve ser possível encontrar mais de 8.500 instâncias de backup na web.
A Mandiant observou um novo parceiro ALPHV ransomware (também conhecido como BlackCat ransomware) rastreado como UNC4466 visando instalações Veritas Backup Exec voltadas para o público quanto às vulnerabilidades CVE-2021-27876, CVE-2021-27877 e CVE -2021-27878 são vulneráveis. Esses CVEs são conhecidos desde março de 2021 e os patches também estão disponíveis. No entanto, alguns administradores ainda não implementaram os patches.
8.500 instâncias do Veritas Backup Exec na rede
Um serviço comercial de varredura na Internet identificou mais de 8.500 instalações de instâncias do Veritas Backup Exec atualmente acessíveis pela Internet. É possível que muitos desses sistemas não tenham patches e, portanto, sejam vulneráveis. Os ataques ALPHV anteriores investigados pela Mandiant dependiam principalmente de credenciais roubadas. Esse ataque pode ser uma mudança de alvo ao explorar vulnerabilidades conhecidas.
O ALPHV surgiu em novembro de 2021 como ransomware como serviço, que alguns pesquisadores afirmam ser o sucessor do ransomware BLACKMATTER e DARKSIDE. Embora alguns operadores de ransomware tenham emitido regras para evitar o impacto em infraestruturas críticas e instalações de saúde, o ALPHV continuou a visar esses setores sensíveis.
Cronograma de vulnerabilidades da Veritas
- Em março de 2021, a Veritas lançou um comunicado relatando três vulnerabilidades críticas no Veritas Backup Exec 16.x, 20.xe 21.x.
- Em 23 de setembro de 2022, foi lançado um módulo METASPLOIT que explora essas vulnerabilidades e cria uma sessão por meio da qual o invasor pode interagir com o sistema da vítima.
- Em 22 de outubro de 2022, a Mandiant observou pela primeira vez a exploração das vulnerabilidades da Veritas na natureza.
Os administradores devem definitivamente verificar suas instâncias do Veritas Backup Exec e preencher as lacunas. Porque está se tornando cada vez mais comum que vulnerabilidades antigas e não corrigidas sirvam como um gateway para ransomware e similares. O último grande ataque aos servidores VMware ESXi também foi explorado por meio de uma vulnerabilidade antiga em versões não modernizadas ou corrigidas.
Em seu blog, a Mandiant mostra como é tecnicamente preciso o ataque às vulnerabilidades nas instalações do Veritas Backup Exec.
Mais em Mandiant.com
Sobre clientes A Mandiant é uma líder reconhecida em defesa cibernética dinâmica, inteligência de ameaças e resposta a incidentes. Com décadas de experiência na linha de frente cibernética, a Mandiant ajuda as organizações a se defenderem com confiança e proatividade contra ameaças cibernéticas e a responderem a ataques. A Mandiant agora faz parte do Google Cloud.