Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Luca Galuppi : 12 Novembre 2024 12:42
Le organizzazioni di tutto il mondo devono stare in allerta: è in corso uno sfruttamento attivo di una vulnerabilità critica nel software Veeam Backup & Replication per distribuire una nuova variante di ransomware, chiamata “Frag”. Questo nuovo attacco dimostra ancora una volta come i criminali informatici stiano diventando sempre più abili nel prendere di mira i sistemi di backup, vitali per il recupero dei dati e la continuità operativa.
Identificata come CVE-2024-40711, la vulnerabilità consente l’esecuzione di codice remoto senza autenticazione. Con un punteggio di gravità impressionante di 9.8 su 10 nella scala CVSS, il rischio di compromissione è elevato, tanto da fare di Veeam un obiettivo altamente appetibile per i cybercriminali. Il bug affligge Veeam Backup & Replication versione 12.1.2.172 e le versioni precedenti. Nonostante Veeam abbia rilasciato delle patch correttive già da settembre 2024, numerose organizzazioni non le hanno ancora applicate.
La minaccia è stata collegata a un gruppo noto come STAC 5881, una “unità d’azione” che ha già sfruttato VPN compromesse per ottenere un accesso iniziale ai network target. Una volta penetrati, i malintenzionati fanno leva sulla vulnerabilità di Veeam per creare account amministrativi non autorizzati e proseguire con le loro operazioni malevole. STAC 5881, che in passato ha distribuito varianti di ransomware come Akira e Fog, ha ora sfoderato Frag, una versione mai vista prima, capace di colpire rapidamente e con precisione chirurgica.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Il ransomware Frag viene eseguito da riga di comando e permette agli attaccanti di specificare la percentuale di crittografia dei file. Una volta colpiti, i file assumono l’estensione “.frag”, segnando visibilmente i danni inflitti. Con l’analisi dei Sophos X-Ops, è stato possibile individuare similitudini tra Frag e le varianti precedenti, suggerendo che potrebbe trattarsi di un “nuovo attore” che adotta tattiche già consolidate. Ancora una volta, il modus operandi ruota attorno alla massimizzazione dei danni alle infrastrutture di backup, al fine di costringere le vittime a pagare il riscatto.
I backup sono una risorsa critica: permettono alle organizzazioni di ripristinare i dati senza soccombere alle richieste dei cybercriminali. Tuttavia, se questi sistemi vengono compromessi, le possibilità di recupero crollano drasticamente, aumentando la pressione sul pagamento del riscatto. Gli attacchi mirati a backup e sistemi di ripristino, come dimostrato da Frag, si stanno trasformando in una tattica prediletta dagli attori malevoli, che colpiscono il punto nevralgico della resilienza aziendale.
Con varianti come Frag e gruppi come STAC 5881 in circolazione, le organizzazioni devono reagire con rapidità e rigore. I criminali informatici si evolvono senza tregua, pronti a colpire infrastrutture critiche e, in questo caso, i sistemi di backup su cui molte aziende fanno affidamento per sopravvivere. Il messaggio è chiaro: non possiamo permetterci di abbassare la guardia. Una patch trascurata o una protezione obsoleta possono significare il crollo dei sistemi, la perdita di dati critici e, inevitabilmente, gravi danni reputazionali e finanziari.
Per gli amministratori IT, è tempo di agire, aggiornare e proteggere – e farlo subito!
Luca Galuppi