La vulnerabilidad CVE-2023-27532 (puntuación CVSS: 7,5) en Veeam Backup & Replication, aunque parcheada en marzo de 2023, sigue siendo explotada activamente por un nuevo grupo de ransomware: EstateRansomware. Esta nueva amenaza fue identificada en abril de 2024. Un análisis reciente de los investigadores de ciberseguridad de Group-IB muestra que este grupo utiliza cuentas VPN inactivas y técnicas de explotación avanzadas para penetrar en redes no seguras. Este fallo ya ha sido parcheado por Veeam para las versiones 12/11a y posteriores del software, por lo que es urgente actualizar si aún no lo has hecho, para evitar el riesgo de acabar con las copias de seguridad de Veeam cifradas y expuestas al ransomware.
Acceso inicial y compromiso de la red
El ataque EstateRansomware comenzó en abril de 2024, cuando los ciberdelincuentes explotaron una cuenta VPN inactiva llamada ‘Acc1’. Los atacantes accedieron inicialmente a la red a través de esta cuenta inactiva mediante el servicio SSL VPN del cortafuegos FortiGate. Después de intentos de fuerza bruta en la VPN, un inicio de sesión exitoso fue rastreado a una dirección IP remota, permitiendo a los atacantes conectarse al servidor de conmutación por error a través de RDP (Remote Desktop Protocol). Se registra una conexión exitosa desde la dirección IP 149.28.106[.]252.
Instalación del backdoor
Los atacantes instalaron una puerta trasera llamada «svchost.exe» en el servidor de conmutación por error para mantener un acceso persistente. Configurado para ejecutarse diariamente a través de una tarea programada, este backdoor se conectaba a un servidor de comando y control a través de un puerto inusual, el puerto 30001. Esta técnica permitía a los atacantes minimizar las posibilidades de detección por parte de los sistemas de seguridad instalados y permanecer conectados a la red de la víctima incluso después de interrumpir su conexión VPN inicial.
«Un análisis más detallado de ‘svchost.exe’ confirmó que 77.238.245[.]11:30001 funciona como una dirección de comando y control (C2). Esta puerta trasera establece un túnel inverso utilizando el protocolo HTTP para conectarse al servidor C2, permitiendo al autor de la amenaza ejecutar remotamente comandos en el servidor de conmutación por error», explican los investigadores de Group-IB.
Secuencia de ataque :
- Explotación del fallo CVE-2023-27532: esta vulnerabilidad crítica en Veeam Backup & Replication fue el primer objetivo.
- Intento de fuerza bruta VPN a través de la cuenta inactiva «Acc1».
- Conexión VPN exitosa mediante«Acc1» entre el cortafuegos y el servidor de conmutación por error a través de RDP sin necesidad de credenciales adicionales.
- Despliegue de un backdoor persistente llamado «svchost.exe » y configuración de una tarea programada para asegurar su ejecución diaria.
- Ejecución del ransomware, se despliega la carga útil EstateRansomware y cifra los datos antes de la petición de rescate.
Esta intrusión inicial marca el comienzo de su ataque, permitiendo el acceso a sistemas críticos. Este incidente pone de relieve la necesidad de gestionar eficazmente las cuentas inactivas -una cuenta inactiva debe desactivarse siempre- y de supervisar el acceso a la red para evitar intrusiones.
Preparación del ataque: herramientas y técnicas utilizadas
La activación del procedimiento almacenado xp_cmdshell en el servidor de copia de seguridad permitió la creación de una cuenta de usuario maliciosa denominada «VeeamBkp». Para preparar su ataque y explotar la vulnerabilidad del fallo CVE-2023-27532, los ciberdelincuentes de EstateRansomware utilizaron esta cuenta recién creada para desplegar una serie de herramientas con las que analizar y mapear la red objetivo. Estas herramientas incluían SoftPerfect Netscan, que se utilizó para identificar los sistemas activos y sus conexiones, así como varias herramientas de recuperación de contraseñas de Nirsoft.
Estas herramientas se utilizaron «para escanear la red y recopilar información como hosts activos, puertos abiertos, archivos compartidos y credenciales. La recopilación adicional de credenciales se realizó en el servidor de copia de seguridad a través de la cuenta recién creada «VeeamBkp». Utilizando la información recopilada, el actor de la amenaza realizó un pivote lateral al servidor de Active Directory (AD) a través de RDP para continuar analizando la red»,explican los investigadores de Group-IB.
AdFind se utilizó para recopilar información de identificación y detalles de los usuarios. Esta meticulosa fase de reconocimiento fue crucial para comprender la estructura y los puntos débiles de la red, facilitando así el acceso a los sistemas críticos. Estos preparativos demuestran lo bien organizados y decididos que estaban los atacantes para llevar a cabo su ataque.
«Desde el servidor AD, AdFind, una herramienta de consulta de línea de comandos que puede utilizarse para recopilar información de Active Directory, se descargó desde «hxxp://www[.]joeware[.]net/freetools/tools/adfind/» y fue utilizada por el autor de la amenaza para enumerar los usuarios del dominio. »
Group-IB.
El ataque en acción: fases de despliegue
El ataque de EstateRansomware se intensificó una vez asegurado el acceso inicial. Los atacantes realizaron un movimiento lateral desde el servidor AD a todos los demás servidores y estaciones de trabajo utilizando cuentas de dominio comprometidas. Tras reunir suficiente información, los atacantes desactivaron Windows Defender mediante DC.exe y desplegaron el ransomware EstateRansomware (LB3.exe) en los hosts comprometidos. El ransomware cifró los datos y dejó una nota de rescate, al tiempo que eliminaba los registros de eventos de Windows para dificultar los esfuerzos de respuesta a incidentes. Esta secuencia de acciones demuestra la precisión y eficacia de los ciberdelincuentes para lograr su objetivo.
Despliegue y progreso del ataque :
- Inyección del ransomware en sistemas críticos.
- Propagación automática del malware por la red.
- Eliminación de las copias de seguridad para impedir su recuperación.
Por último, algunas recomendaciones: es esencial supervisar y auditar regularmente las cuentas, eliminando o desactivando cualquier cuenta inactiva para evitar accesos no autorizados. También es esencial implantar la autenticación multifactor (MFA) para las VPN y otros servicios de acceso remoto. Adopte una política de gestión de parches para asegurarse de que su firmware y software están actualizados con los últimos parches de seguridad, protegiéndole contra vulnerabilidades conocidas. Como vimos en junio, Veeam es muy reactivo cuando se trata de parchear vulnerabilidades CVE críticas. Segmentar los sistemas críticos y aplicar reglas estrictas de cortafuegos también ayuda a limitar los movimientos laterales dentro de la red. Considere también deshabilitar el acceso RDP innecesario y limitarlo a direcciones IP específicas y fiables. Implemente el control de aplicaciones en los hosts para impedir la ejecución de programas no autorizados y garantizar que sólo se utilicen aplicaciones de seguridad aprobadas. La implantación de una solución de detección y respuesta para puntos finales (EDR) ayuda a detectar y responder a actividades sospechosas con mayor rapidez.
Si, a pesar de todas estas precauciones, sigue siendo víctima de un ataque de ransomware, no dude en recurrir a los servicios de SOS Ransomware. Nuestros expertos pueden ayudarle a recuperar sus datos cifrados, garantizando que su empresa siga funcionando… Proteja su empresa recurriendo a nuestros servicios especializados de recuperación de datos tras un ataque de ransomware.
Para más detalles, consulte el estudio original:
Parche o peligro: un incidente de vulnerabilidad de Veeam (Group-IB)
