EstateRansomware exploite une faille de sécurité non patchée dans Veeam Backup & Replication

La vulnérabilité CVE-2023-27532 (CVSS score: 7.5) de Veeam Backup & Replication, bien que patchée en mars 2023, est toujours activement exploitée par un nouveau groupe de ransomware : EstateRansomware. Cette nouvelle menace a été identifiée en avril 2024. Une récente analyse des chercheurs en cybersécurité du Group-IB, démontre que ce groupe utilise des comptes VPN dormants et des techniques d’exploitation avancées pour pénétrer les réseaux non sécurisés. Cette faille a déjà été corrigée par Veeam pour les versions 12/11a et ultérieures du logiciel, il est donc urgent de procéder aux mises à jours pour ceux qui ne l’auraient pas encore fait afin de ne pas risquer de vous retrouver avec des sauvegardes Veeam chiffrées et exposés à une demande de rançon.

Accès initial et compromission du réseau

L’attaque d’EstateRansomware commence en avril 2024, lorsque les cybercriminels exploitent un compte VPN dormant nommé ‘Acc1’. Les attaquants ont initialement accédé au réseau via ce compte dormant à travers le service SSL VPN du pare-feu FortiGate. Après des tentatives de force brute sur le VPN, un login réussi a été tracé à une adresse IP distante, permettant aux attaquants de se connecter au serveur de basculement via RDP (Remote Desktop Protocol). Une connexion réussie est enregistrée depuis l’adresse IP 149.28.106[.]252.

Installation de la porte dérobée

Les attaquants ont installé une porte dérobée nommée “svchost.exe” sur le serveur de basculement pour maintenir un accès persistant. Configurée pour s’exécuter quotidiennement via une tâche planifiée, cette porte dérobée se connectait à un serveur de commande et de contrôle via un port peu commun, le port 30001. Cette technique a permis aux attaquants de minimiser les chances de détection par les systèmes de sécurité en place et de rester connectés au réseau de la victime même après avoir interrompu leur connexion VPN initiale

“Une analyse plus poussée de ‘svchost.exe’ a confirmé que 77.238.245[.]11:30001 fonctionne comme une adresse de commande et de contrôle (C2). Cette porte dérobée établit un tunnel inverse utilisant le protocole HTTP pour se connecter au serveur C2, ce qui permet à l’auteur de la menace d’exécuter à distance des commandes sur le serveur de basculement.” détaillent les chercheurs de Group-IB.

Flux de l'attaque d'EstateRansomware sur Veeam Backup & Replication
Flux d’attaque de l’accès initial à l’établissement d’un point d’appui – Source Group-IB

Déroulement de l’attaque :

  • Exploitation de la faille CVE-2023-27532 : cette vulnérabilité critique dans Veeam Backup & Replication a été la première cible.
  • Tentative de force brute VPN via le compte dormant  » Acc1 « .
  • Connexion VPN réussie utilisant « Acc1 » entre le pare-feu et le serveur de basculement via RDP sans avoir besoin d’informations d’identification supplémentaires.
  • Déploiement d’ une porte dérobée persistante nommée « svchost.exe » et mise en place une tâche programmée pour assurer son exécution quotidienne.
  • Exécution du ransomware, la charge utile d’EstateRansomware est déployée et chiffre les données avant la demande de rançon.

Cette intrusion initiale marque le début de leur attaque, permettant l’accès aux systèmes critiques. Cet incident met en lumière la nécessité de gérer efficacement les comptes dormants, un compte inactif devrait toujours être désactivé, et de surveiller les accès réseau pour prévenir les intrusions.

Préparation de l’attaque : les outils et techniques utilisés

L’activation de la procédure stockée xp_cmdshell sur le serveur de sauvegarde a permis la création d’un compte utilisateur malveillant nommé “VeeamBkp”. Pour préparer leur attaque et exploiter la vulnérabilité de la faille CVE-2023-27532 , les cybercriminels d’EstateRansomware ont déployé par le biais de ce compte nouvellement créé une série d’outils pour analyser et cartographier le réseau cible. Parmi ces outils on retrouve SoftPerfect Netscan qui a été utilisé pour identifier les systèmes actifs et leurs connexions ainsi que divers outils de récupération de mots de passe de Nirsoft.

Puis ces outils ont été utilisés “pour analyser le réseau et recueillir des informations telles que les hôtes vivants, les ports ouverts, les partages de fichiers et les informations d’identification. Une collecte supplémentaire d’informations d’identification a été effectuée sur le serveur de sauvegarde par le biais du compte ‘VeeamBkp’ nouvellement créé. Avec les informations collectées, l’acteur de la menace a procédé à un pivot latéral vers le serveur Active Directory (AD) via RDP pour poursuivre l’analyse du réseau.”précisent les chercheurs de Group-IB

AdFind a permis de collecter des informations d’identification et des détails sur les utilisateurs. Cette phase de reconnaissance minutieuse a été capitale pour comprendre la structure et les points faibles du réseau, facilitant ainsi l’accès aux systèmes critiques. Ces préparatifs montrent à quel point les attaquants étaient bien organisés et déterminés à mener à bien leur attaque.

Téléchargement d'AdFind
AdFind téléchargé avec Google Chrome – Source Group-IB

“À partir du serveur AD, AdFind, un outil d’interrogation en ligne de commande qui peut être utilisé pour recueillir des informations à partir d’Active Directory, a été téléchargé à partir de « hxxp://www[.]joeware[.]net/freetools/tools/adfind/ » et utilisé par l’auteur de la menace pour dénombrer les utilisateurs du domaine.”

Group-IB.

L’attaque en action : phases de déploiement

L’attaque d’EstateRansomware s’est intensifiée une fois l’accès initial sécurisé. les attaquants ont effectué un déplacement latéral du serveur AD vers tous les autres serveurs et postes de travail en utilisant des comptes de domaine compromis. Après avoir rassemblé suffisamment d’informations, les attaquants ont désactivé Windows Defender à l’aide de DC.exe et ont déployé le ransomware EstateRansomware (LB3.exe) sur les hôtes compromis. Le ransomware a chiffré les données et laissé une note de rançon, tout en effaçant les journaux d’événements Windows pour entraver les efforts de réponse aux incidents. Cette séquence d’actions montre la précision et l’efficacité des cybercriminels dans la réalisation de leur objectif.

Déroulement de l'attaque sur Veeam Backup & Replication après l'accès initial d’EstateRansomware
Aperçu du déroulement de l’attaque après l’accès initial d’EstateRansomware – – Source Group-IB

Déploiement et déroulement de l’attaque :

  1. Injection du ransomware sur les systèmes critiques.
  2. Propagation automatique du malware à travers le réseau.
  3. Suppression des sauvegardes pour empêcher la récupération

Pour terminer, quelques recommandations : il est essentiel de contrôler et auditer régulièrement les comptes, en supprimant ou désactivant tout compte dormant pour empêcher tout accès non autorisé. Mettre en œuvre l’authentification multifactorielle (MFA) pour les VPN et autres services d’accès à distance est également indispensable. Adoptez une politique de gestion des correctifs pour garantir que vos firmwares et logiciels sont à jour avec les derniers correctifs de sécurité, ce qui vous protège contre les vulnérabilités connues. Comme nous avons pu le constater en juin déjà Veeam est trés réactif pour patcher ses failles CVE critiques. Segmenter les systèmes critiques et appliquer des règles strictes en matière de pare-feu permet également de limiter les mouvements latéraux au sein du réseau. Pensez aussi à désactiver les accès RDP inutiles et à les limiter à des adresses IP spécifiques et fiables. Mettez en œuvre un contrôle des applications sur les hôtes pour empêcher l’exécution de programmes non autorisés et assurez-vous que seules les applications de sécurité approuvées sont utilisées. Implémenter une solution de détection et de réponse des points finaux (EDR) permet de détecter et de répondre aux activités suspectes plus rapidement.

Si malgré toutes ces précautions vous étiez tout de même victime d’une attaque de ransomware, n’hésitez pas à solliciter les services de SOS Ransomware. Nos experts peuvent vous aider à retrouver vos données chiffrées assurant ainsi la continuité de vos opérations.. Protégez votre entreprise en faisant appel à nos services spécialisés en récupération de données après une attaque de ransomware.

Pour plus de détails nous vous invitons à consulter l’étude originale (en anglais) :

Patch or Peril: A Veeam vulnerability incident (Group-IB)

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *