top of page
Foto do escritorDiego Arantes

Exploração de Vulnerabilidades pelos Ransomwares Akira e Fog

Sumário Executivo

Recentemente, gangues de ransomware têm aproveitado uma vulnerabilidade crítica de segurança no software Veeam Backup & Replication (VBR), permitindo a execução remota de código (RCE). Identificada como CVE-2024-40711, essa falha coloca em risco a integridade dos dados de backup das organizações, afetando especialmente as que utilizam o VBR para proteção de dados e recuperação de desastres. O impacto da exploração dessa vulnerabilidade foi intensificado pelos ransomwares Akira e Fog, que já realizaram ataques utilizando essa falha.

1. Introdução à Vulnerabilidade CVE-2024-40711

A vulnerabilidade foi descoberta por Florian Hauser, da Code White, e está relacionada à desserialização de dados não confiáveis, tornando-se uma porta de entrada para agentes mal-intencionados sem autenticação. A Veeam lançou uma atualização de segurança em 4 de setembro de 2024 para corrigir essa falha. Logo após, o laboratório watchTowr Labs publicou uma análise técnica da vulnerabilidade, mas adiou a liberação do código de prova de conceito até 15 de setembro, dando tempo para que os administradores aplicassem as correções necessárias.

A falha em questão afeta diretamente o Veeam Backup & Replication, amplamente utilizado para a proteção de máquinas virtuais, físicas e na nuvem, tornando-se um alvo preferencial para grupos de ransomware, que veem nos dados de backup uma oportunidade valiosa para extorsão.


2. Ataques com Exploração da Vulnerabilidade

No mês passado, a Sophos X-Ops descobriu que a falha CVE-2024-40711 foi explorada rapidamente pelos ransomwares Akira e Fog, que utilizaram credenciais previamente comprometidas para adicionar contas maliciosas nos grupos de administradores e usuários de Área de Trabalho Remota. Em um dos incidentes investigados, os atacantes implantaram o ransomware Fog em um servidor Hyper-V vulnerável, usando o utilitário rclone para exfiltrar dados.

Esses ataques também tiveram como vetor inicial gateways VPN comprometidos, que estavam sem autenticação multifator habilitada, além de rodarem versões de software desatualizadas e sem suporte. Isso demonstra a importância da aplicação de boas práticas de segurança e da constante atualização dos sistemas.

Além disso, a falha foi detectada em ataques vinculados ao grupo de ameaças FIN7, conhecido por sua motivação financeira e envolvimento em grandes operações de ransomware, como Conti, REvil e Maze. Meses após a identificação da vulnerabilidade, essa mesma falha foi utilizada em ataques de ransomware direcionados a infraestruturas críticas dos EUA e empresas de TI na América Latina.


3. Recomendações

Para mitigar o impacto dessa vulnerabilidade e evitar que ataques como os realizados pelos ransomwares Akira e Fog continuem ocorrendo, são sugeridas as seguintes ações:

  1. Atualização do Software:

    • Aplicar a versão 12.2.0.334 do Veeam Backup & Replication, que resolve a vulnerabilidade CVE-2024-40711.

  2. Monitoramento de Canais Oficiais:

    • Acompanhar os canais de comunicação da Veeam para receber atualizações sobre novos patches e informações de segurança.

  3. Restrição de Acesso:

    • Limitar o acesso ao software de backup apenas para usuários autorizados, minimizando o uso de credenciais de baixo nível.

  4. Segmentação de Rede:

    • Implementar a segmentação da rede para isolar o software de backup do restante da infraestrutura, reduzindo o risco de movimento lateral no caso de comprometimento.

  5. Auditorias Regulares:

    • Realizar auditorias periódicas de segurança para identificar e corrigir possíveis vulnerabilidades adicionais.

  6. Educação e Treinamento da Equipe:

    • Treinar os profissionais de TI sobre as melhores práticas de segurança, especialmente sobre a importância da aplicação de patches de segurança de forma imediata.

  7. Monitoramento de Logs e Alertas:

    • Configurar sistemas de monitoramento para detectar atividades suspeitas e responder rapidamente a tentativas de exploração.


4. Conclusão

A exploração da vulnerabilidade CVE-2024-40711 pelos ransomwares Akira e Fog demonstra a urgência de se adotar práticas de segurança robustas, especialmente em sistemas críticos como os de backup e replicação de dados. A rápida ação dos atacantes reforça a necessidade de manter os sistemas atualizados, monitorar acessos e educar as equipes de TI. A aplicação de patches e o uso de medidas preventivas são fundamentais para reduzir o impacto de ataques cibernéticos.


  1. Referências:


0 visualização0 comentário

Posts recentes

Ver tudo

Opmerkingen


bottom of page