Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/alphv-ransomware-exploits-veritas-backup-exec-bugs-for-initial-access/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #alphv #ransomware #explora #bugs #do #veritas #backup #exec #para #acesso #inicial
Um ransomware afiliado ALPHV/BlackCat foi observado explorando três vulnerabilidades que afetam o produto Veritas Backup para acesso inicial à rede de destino.
A operação de ransomware ALPHV surgiu em dezembro de 2021 e é considerada administrada por ex-membros dos programas Darkside e Blackmatter que foram encerrados abruptamente para escapar da pressão das autoridades.
A Mandiant rastreia a afiliada do ALPHV como 'UNC4466' e observa que o método é um desvio da invasão típica que depende de credenciais roubadas.
falhas exploradas
A Mandiant relata que observou os primeiros casos de exploração de falhas da Veritas na natureza em 22 de outubro de 2022. As falhas de alta gravidade visadas pelo UNC4466 são:
CVE-2021-27876: Falha arbitrária de acesso a arquivos causada por um erro no esquema de autenticação SHA, permitindo que um invasor remoto obtenha acesso não autorizado a endpoints vulneráveis. (Pontuação CVSS: 8,1)
CVE-2021-27877: Acesso remoto não autorizado e execução de comando privilegiado para o Agente BE via autenticação SHA. (Pontuação CVSS: 8,2)
CVE-2021-27878: Falha de execução de comando arbitrário resultante de um erro no esquema de autenticação SHA, permitindo que um invasor remoto obtenha acesso não autorizado a terminais vulneráveis. (Pontuação CVSS: 8,8)
Todas as três falhas afetam o software Veritas Backup. O fornecedor os divulgou em março de 2021 e lançou uma correção com a versão 21.2. No entanto, apesar de mais de dois anos terem se passado desde então, muitos endpoints permanecem vulneráveis, pois não foram atualizados para uma versão segura.
A Mandiant diz que um serviço de varredura comercial mostrou que existem na web pública mais de 8.500 endereços IP que anunciam o serviço "Symantec/Veritas Backup Exec ndmp" na porta padrão 10000 e nas portas 9000 e 10001.
"Embora este resultado da pesquisa não identifique diretamente os sistemas vulneráveis, pois as versões do aplicativo não foram identificáveis, ele demonstra a prevalência de instâncias expostas na Internet que podem ser investigadas por invasores" - Mandiant
Um módulo Metasploit para explorar essas vulnerabilidades foi lançado ao público em 23 de setembro de 2022. O código permite que os invasores criem uma sessão e interajam com os pontos de extremidade violados.
De acordo com a Mandiant, o UNC4466 começou a usar o módulo específico um mês após sua disponibilização.
Detalhes do ataque
De acordo com as observações da Mandiant, o UNC4466 compromete um servidor Windows exposto à Internet executando o Veritas Backup Exec usando o módulo Metasploit disponível publicamente e mantém acesso persistente ao host.
Após o comprometimento inicial, o invasor usou os utilitários Advanced IP Scanner e ADRecon para coletar informações sobre o ambiente da vítima.
Em seguida, eles baixaram ferramentas adicionais no host, como LAZAGNE, LIGOLO, WINSW, RCLONE e, finalmente, o criptografador ALPHV ransomware por meio do Background Intelligent Transfer Service (BITS).
O agente da ameaça usou o túnel SOCKS5 para se comunicar com o servidor de comando e controle (C2).
Os pesquisadores explicam que o UNC4466 usou transferências BITS para baixar ferramentas de tunelamento SOCKS5 e implantou a carga útil do ransomware adicionando tarefas imediatas à política de domínio padrão, desativando o software de segurança e executando o criptografador.
Para escalar privilégios, o UNC4466 utiliza Mimikatz, LaZagne e Nanodump para roubar credenciais de usuário válidas.
Por fim, o agente da ameaça evita a detecção limpando os logs de eventos e desativando o recurso de monitoramento em tempo real do Microsoft Defender.
O relatório da Mandiant fornece orientações que os defensores podem seguir para detectar ataques UNC4466 em tempo hábil e mitigá-los antes que a carga ALPHV seja executada em seus sistemas.
Postar um comentário