EstateRansomware : ce nouveau gang exploite une faille de sécurité dans Veeam Backup & Replication
Un nouveau gang de ransomware a été repéré en train d'exploiter une faille de sécurité présente dans Veeam Backup & Replication. Bien que déjà patchée, cette vulnérabilité reste attractive pour les cybercriminels. Faisons le point.
On ne présente plus la solution de sauvegarde Veeam Backup & Replication, contrairement à un nouveau groupe de cybercriminels émergent sous le nom d'EstateRansomware.
L'entreprise GROUP-IB a publié un nouveau rapport pour évoquer une attaque lors de laquelle la faille de sécurité CVE-2023-27532 a été exploitée ! Cette vulnérabilité a été corrigée le 7 mars 2023 dans Veeam Backup & Replication, et elle a déjà fait l'objet de nombreuses tentatives d'exploitation par différents groupes de cybercriminels.
Le VPN SSL Fortinet comme porte d'entrée
En avril 2024, GROUP-IB a repéré le gang de ransomware EstateRansomware pour la première fois. Pour l'accès initial à des infrastructures d'entreprises, les pirates ciblent les accès SSL VPN des firewalls FortiGate via la technique traditionnelle du brute force.
"Avant l'attaque du ransomware, des tentatives de brute force du VPN ont été notées en avril 2024 à l'aide d'un compte dormant identifié comme "Acc1". Quelques jours plus tard, une connexion VPN réussie utilisant "Acc1" a été retracée jusqu'à l'adresse IP distante 149.28.106[.]252.", peut-on lire.
L'exploitation d'une faille de sécurité dans Veeam
Par la suite, le mode opératoire des pirates pour la grosse partie de l'attaque implique l'exploitation de la CVE-2023-27532 présente dans la solution Veeam. Elle est notamment utilisée pour la création d'un compte qui sera utilisé pour la découverte du réseau et l'énumération avec d'autres outils (comme SoftPerfect Network Scanner). "Cette activité a facilité l'activation de la fonction xp_cmdshell et la création ultérieure du compte 'VeeamBkp'.", précise le rapport.
Le protocole RDP est aussi utilisé pour effectuer des mouvements latéraux d'une machine à une autre, tout comme l'outil PsExec qui complète l'arsenal des cybercriminels. Au final, le ransomware est exécuté sur l'ensemble des serveurs accessibles ainsi que sur les postes de travail de l'entreprise victime de la cyberattaque. En amont, la solution Defender est désactivée de façon permanente sur les machines.
"Windows Defender a été désactivé de façon permanente à l'aide de DC.exe, puis le ransomware a été déployé et exécuté à l'aide de PsExec.exe.", peut-on lire dans le rapport.
Voici le flux complet de l'attaque par ransomware une fois l'accès initial obtenu par les pirates :
Voilà une raison de plus de suivre et d'appliquer les mises à jour de sécurité dès que possible sur les diverses applications d'une entreprise, tout en respectant les principes de cloisonnement et de gestion des privilèges.
