La vulnerabilidad CVE-2024-40711 descubierta en Veeam Backup & Replication sigue causando estragos en los sistemas sin parchear. Mientras que esta vulnerabilidad ya ha permitido a los ransomware Akira y Fog lanzar ataques devastadores, ahora está siendo explotada por un recién llegado, el ransomware Frag. Al dirigirse específicamente a los servidores de copia de seguridad de Veeam, estos actores maliciosos están demostrando, una vez más si se necesitara una prueba, la importancia de aplicar rápidamente las actualizaciones de seguridad. Las empresas deben comprender la urgencia de asegurar sus infraestructuras para evitar que estas vulnerabilidades sean explotadas continuamente.
Vulnerabilidades de seguridad de Veeam y su impacto
Las vulnerabilidades en los sistemas de backup se han convertido en objetivos prioritarios para los ciberdelincuentes. Veeam Backup & Replication (VBR), una de las herramientas más utilizadas del mundo para realizar copias de seguridad y restaurar datos, se encuentra ahora en el centro de las preocupaciones de seguridad con la explotación de su fallo crítico CVE-2024-40711. Esta debilidad, descubierta por el investigador de Code White Florian Hauser, explota una deserialización de datos poco fiable, lo que permite a los atacantes ejecutar código malicioso de forma remota.
El fallo CVE-2024-40711 y sus implicaciones para las empresas
CVE-2024-40711 supone una grave amenaza, especialmente para las empresas que aún no han aplicado las actualizaciones de seguridad publicadas por Veeam el 4 de septiembre. Este fallo permite a actores maliciosos acceder a servidores VBR sin autenticación, dándoles la capacidad de manipular cuentas de administrador y ejecutar comandos de forma remota en máquinas vulnerables. Los esfuerzos de Veeam y de los investigadores de seguridad por retrasar la publicación de los detalles técnicos y los POC (pruebas de concepto) pretendían dar tiempo a los administradores para asegurar sus infraestructuras, pero los grupos de ransomware encontraron rápidamente la forma de explotar la brecha. El impacto en las empresas es potencialmente desastroso, desde la exfiltración de datos hasta la paralización total de sus sistemas de copia de seguridad. Debido a su explotación en los ataques de ransomware Akira y Fog, esta vulnerabilidad expone a las empresas que no se han actualizado a un mayor riesgo de pérdida de datos y de interrupción del negocio.
Métodos de explotación de los grupos Akira y Fog
Los ataques llevados a cabo por los grupos Akira y Fog ilustran claramente el ingenio de los ciberdelincuentes para explotar los fallos de seguridad. Estos grupos combinaron la vulnerabilidad Veeam RCE con credenciales VPN robadas para infiltrarse en los servidores y crear cuentas administrativas maliciosas. Añadir estas cuentas al grupo de usuarios de escritorio remoto les permite controlar servidores expuestos a través de Internet, dejando los sistemas de backup vulnerables a accesos no autorizados y ataques de ransomware. Sophos X-Ops, una organización especializada en la respuesta a incidentes de seguridad, ha revelado que este método de ataque permite un control casi total de los servidores VBR no seguros.
Recientemente analizamos la explotación de este fallo crítico por parte de los ransomware Akira y Fog en un artículo que detallaba la amenaza que supone CVE-2024-40711 para los servidores Veeam Backup & Replication. Al destacar el impacto de estas vulnerabilidades, el artículo subrayaba la importancia de parchear rápidamente las vulnerabilidades para evitar intrusiones masivas. Hoy, la llegada del ransomware Frag confirma la urgencia de una estrategia de seguridad proactiva para las infraestructuras Veeam.
El ransomware Frag: un recién llegado a la escena de los ciberataques
La vulnerabilidad CVE-2024-40711 ha sido explotada como parte de un conjunto de actividades maliciosas denominadas STAC 5881 por Sophos. Recientemente, los analistas de Sophos X-Ops volvieron a observar tácticas asociadas al STAC 5881, pero esta vez observaron el despliegue de un nuevo ransomware «Frag». El ransomware Frag utiliza métodos similares a los de los ransomware Akira y Fog. Los investigadores observaron que, tras utilizar VPN comprometidas para acceder a los sistemas y explotar el fallo de Veeam, Frag crea cuentas de administrador. Estas nuevas cuentas, denominadas «point» y «point2», pueden utilizarse para controlar las redes comprometidas. Según Sean Gallagher, Frag actúa directamente a través de la línea de comandos, con varios parámetros configurables y un porcentaje de cifrado como parámetro obligatorio. Este ransomware permite a los atacantes elegir qué archivos y directorios cifrar, añadiendo la extensión .frag a los archivos comprometidos. En un caso reciente, el ransomware fue bloqueado por la función CryptoGuard de Sophos Endpoint Protection, y se añadió detección específica para este malware.
Una característica notable de Frag es su uso de LOLBins (Living Off The Land binaries) para evadir los sistemas de detección. Estas herramientas, como WinRAR o WinSCP, se utilizan para exfiltrar archivos sin levantar sospechas, puesto que ya están presentes en las redes objetivo. Según Agger Labs, este método permite a los atacantes mezclarse con la actividad de la red, lo que dificulta aún más su detección. Esta técnica, ya utilizada por Akira y Fog, demuestra la creciente adaptabilidad de los operadores de ransomware, que aprovechan el software de confianza para operar discretamente dentro de las infraestructuras atacadas.
Proteger su infraestructura: las medidas esenciales
Dada la gravedad de este fallo y la proliferación de ransomware que explota CVE-2024-40711, las empresas deben dar prioridad a las actualizaciones y parches de sus servidores VBR (Veeam Backup Server). Es necesario aumentar la vigilancia para detectar actividades sospechosas relacionadas con cuentas administrativas, y es esencial endurecer las configuraciones de seguridad, en particular aislando las copias de seguridad para reducir los riesgos en caso de compromiso. El refuerzo de los accesos VPN y la autenticación multifactor son también medidas clave para limitar los accesos no autorizados, en particular para los sistemas expuestos a Internet.
Reforzando las defensas y manteniéndose al día de las últimas amenazas, las empresas pueden protegerse eficazmente contra los ataques de ransomware y minimizar los riesgos asociados a las brechas de seguridad.
