В последнее время усилились активности хакерских групп, нацеленных на программное обеспечение для создания резервных копий данных.
Одна из таких групп, получившая название EstateRansomware, начала эксплуатацию уязвимости в программе Veeam Backup & Replication. Эксперты из компании Group-IB, базирующейся в Сингапуре, обнаружили эту активность в апреле 2024 года.
Исходный доступ к системам жертвы был получен через уязвимость в SSL VPN-аппарате FortiGate. Хакеры использовали спящий аккаунт для входа, что позволило им далее перемещаться по сети и устанавливать постоянные каналы для управления заражёнными системами. Целью атаки стала активация процедуры xp_cmdshell на сервере резервного копирования и создание нового пользователя с правами администратора.
Процесс заражения включал установку вредоносного ПО, которое ежедневно активировалось по расписанию, и обеспечивало связь с управляющим сервером для выполнения команд злоумышленников. После подготовки, группа перешла к основной фазе атаки – развертыванию программы-вымогателя, которая шифровала данные на всех доступных серверах и рабочих станциях, отключив перед этим Windows Defender.
Необходимо постоянно обновлять программное обеспечение и отслеживать активности на сетевом периметре, чтобы избежать подобных инцидентов.
Одна из таких групп, получившая название EstateRansomware, начала эксплуатацию уязвимости в программе Veeam Backup & Replication. Эксперты из компании Group-IB, базирующейся в Сингапуре, обнаружили эту активность в апреле 2024 года.
Исходный доступ к системам жертвы был получен через уязвимость в SSL VPN-аппарате FortiGate. Хакеры использовали спящий аккаунт для входа, что позволило им далее перемещаться по сети и устанавливать постоянные каналы для управления заражёнными системами. Целью атаки стала активация процедуры xp_cmdshell на сервере резервного копирования и создание нового пользователя с правами администратора.
Процесс заражения включал установку вредоносного ПО, которое ежедневно активировалось по расписанию, и обеспечивало связь с управляющим сервером для выполнения команд злоумышленников. После подготовки, группа перешла к основной фазе атаки – развертыванию программы-вымогателя, которая шифровала данные на всех доступных серверах и рабочих станциях, отключив перед этим Windows Defender.
Необходимо постоянно обновлять программное обеспечение и отслеживать активности на сетевом периметре, чтобы избежать подобных инцидентов.
