Киберпреступники начали активно использовать уязвимость в популярном программном обеспечении Veeam Backup & Replication для распространения нового вымогательского ПО под названием “Frag”. Уязвимость с идентификатором CVE-2024-40711позволяет удалённое выполнение кода без аутентификации и имеет критический уровень опасности – 9,8 из 10 по шкале CVSS.
Исследователи Sophos X-Ops сообщили,что атаки связаны с активностью группировки, обозначенной как STAC 5881. Эти хакеры для проникновения в сети используют уязвимые VPN-устройства, а затем применяют эксплойт для Veeam, чтобы создать фальшивые учётные записи администратора.
Проблема затрагивает версии Veeam Backup & Replication до 12.1.2.172 включительно. Veeam – это популярное решение для резервного копирования, которым пользуются более 550 000 клиентов по всему миру, включая 74% компаний из списка Global 2000. Патчи для устранения уязвимости были выпущены в начале сентября 2024 года.
Ранее группировка STAC 5881 использовала известные вирусы-вымогатели Akira и Fog. Атаки с использованием ранее неизвестного вредоноса Frag были выявлены лишь совсем недавно. По словам ведущего исследователя Sophos X-Ops Шона Галлахера, схема атак остаётся прежней: злоумышленники сначала получают доступ через уязвимый VPN, затем используют уязвимость Veeam и создают учётные записи “point” и “point2”.
Frag выполняется через командную строку и требует указания тщательности шифрования файлов в процентах. Все зашифрованные документы получают расширение “.frag”. Sophos уже включила поддержку обнаружения этого вредоносного ПО в свои средства защиты конечных точек.
Пользователям Veeam Backup & Replication рекомендуется немедленно установить последние обновления. Также стоит изолировать серверы резервного копирования от Интернета, применять многофакторную аутентификацию и использовать мониторинг для обнаружения подозрительной активности.