Een inmiddels gepatchte beveiligingsfout in de software van Veeam Backup & Replication wordt uitgebuit door een opkomende ransomware-aanval die bekendstaat als EstateRansomware.
Group-IB, met hoofdkantoor in Singapore, ontdekte de dreigingsactor begin april 2024 en zei dat de modus operandi bestond uit het misbruiken van CVE-2023-27532 (CVSS-score: 7,5) om kwaadaardige activiteiten uit te voeren.
Er wordt gezegd dat de eerste toegang tot de doelomgeving is verkregen via een Fortinet FortiGate firewall SSL VPN-apparaat met behulp van een inactief account.
“De aanvaller maakte een laterale beweging van de FortiGate Firewall via de SSL VPN-service om toegang te krijgen tot de failover-server”, aldus beveiligingsonderzoeker Yeo Zi Wei in een vandaag gepubliceerde analyse.
“Vóór de ransomware-aanval werden in april 2024 al brute-force-pogingen via VPN opgemerkt, waarbij gebruik werd gemaakt van een inactief account dat werd geïdentificeerd als ‘Acc1’. Enkele dagen later werd een succesvolle VPN-inlog met ‘Acc1’ herleid tot het externe IP-adres 149.28.106(.)252.”
Vervolgens gingen de kwaadwillenden aan de slag met het opzetten van RDP-verbindingen van de firewall naar de failover-server. Vervolgens implementeerden ze een permanente backdoor met de naam ‘svchost.exe’ die dagelijks werd uitgevoerd via een geplande taak.
Vervolgens werd toegang tot het netwerk verkregen met behulp van de backdoor om detectie te ontwijken. De primaire verantwoordelijkheid van de backdoor is om verbinding te maken met een command-and-control (C2) server via HTTP en willekeurige opdrachten uit te voeren die door de aanvaller zijn uitgegeven.
Group-IB meldde dat het de actor had gezien die misbruik maakte van Veeam-fout CVE-2023-27532 met als doel xp_cmdshell op de back-upserver in te schakelen en een frauduleus gebruikersaccount met de naam ‘VeeamBkp’ aan te maken. Daarnaast voerde het netwerkdetectie, opsomming en het verzamelen van inloggegevens uit met behulp van tools zoals NetScan, AdFind en NitSoft met behulp van het nieuw aangemaakte account.
“Deze exploitatie hield mogelijk een aanval in vanuit de VeeamHax-map op de bestandsserver tegen de kwetsbare versie van de Veeam Backup & Replication-software die op de back-upserver was geïnstalleerd”, veronderstelde Zi Wei.
“Deze activiteit maakte de activering van de opgeslagen procedure xp_cmdshell en de daaropvolgende aanmaak van het ‘VeeamBkp’-account mogelijk.”
De aanval resulteerde in de implementatie van de ransomware, maar niet voordat er maatregelen waren genomen om de verdediging te omzeilen en de ransomware zich lateraal had verplaatst van de AD-server naar alle andere servers en werkstations met behulp van gecompromitteerde domeinaccounts.
“Windows Defender werd permanent uitgeschakeld met DC.exe (Defender Control), waarna ransomware werd geïmplementeerd en uitgevoerd met PsExec.exe”, aldus Group-IB.
De onthulling volgt op de onthulling van Cisco Talos dat de meeste ransomware-bendes prioriteit geven aan het verkrijgen van initiële toegang via beveiligingslekken in openbare applicaties, phishingbijlagen of het hacken van geldige accounts, en het omzeilen van verdedigingsmechanismen in hun aanvalsketens.
Het model van dubbele afpersing, waarbij gegevens worden geëxfiltreerd voordat bestanden worden versleuteld, heeft geleid tot de ontwikkeling van op maat gemaakte hulpmiddelen door de betrokken partijen (bijvoorbeeld Exmatter, Exbyte en StealBit) om vertrouwelijke informatie naar een door de tegenstander gecontroleerde infrastructuur te sturen.
Dit vereist dat deze e-criminele groepen langdurige toegang hebben om de omgeving te verkennen. Zo kunnen ze de structuur van het netwerk begrijpen, bronnen vinden die de aanval kunnen ondersteunen, hun privileges verhogen of ervoor zorgen dat ze zich niet opdringen, en waardevolle gegevens identificeren die gestolen kunnen worden.
“Het afgelopen jaar hebben we grote verschuivingen gezien in de ransomware-wereld, met de opkomst van meerdere nieuwe ransomware-groepen, elk met unieke doelen, operationele structuren en victimologie”, aldus Talos.
“De diversificatie onderstreept een verschuiving naar cybercriminele activiteiten die meer op gespecialiseerde niches zijn gericht, aangezien groepen als Hunters International, Cactus en Akira specifieke niches afbakenen en zich richten op specifieke operationele doelen en stilistische keuzes om zich te onderscheiden.”
