Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco in Corso: Frag Ransomware Sfrutta la Vulnerabilità di Veeam per Colpire i Backup

Luca Galuppi : 12 Novembre 2024 12:42

Le organizzazioni di tutto il mondo devono stare in allerta: è in corso uno sfruttamento attivo di una vulnerabilità critica nel software Veeam Backup & Replication per distribuire una nuova variante di ransomware, chiamata “Frag”. Questo nuovo attacco dimostra ancora una volta come i criminali informatici stiano diventando sempre più abili nel prendere di mira i sistemi di backup, vitali per il recupero dei dati e la continuità operativa.

La vulnerabilità

Identificata come CVE-2024-40711, la vulnerabilità consente l’esecuzione di codice remoto senza autenticazione. Con un punteggio di gravità impressionante di 9.8 su 10 nella scala CVSS, il rischio di compromissione è elevato, tanto da fare di Veeam un obiettivo altamente appetibile per i cybercriminali. Il bug affligge Veeam Backup & Replication versione 12.1.2.172 e le versioni precedenti. Nonostante Veeam abbia rilasciato delle patch correttive già da settembre 2024, numerose organizzazioni non le hanno ancora applicate.

La minaccia è stata collegata a un gruppo noto come STAC 5881, una “unità d’azione” che ha già sfruttato VPN compromesse per ottenere un accesso iniziale ai network target. Una volta penetrati, i malintenzionati fanno leva sulla vulnerabilità di Veeam per creare account amministrativi non autorizzati e proseguire con le loro operazioni malevole. STAC 5881, che in passato ha distribuito varianti di ransomware come Akira e Fog, ha ora sfoderato Frag, una versione mai vista prima, capace di colpire rapidamente e con precisione chirurgica.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Il ransomware Frag viene eseguito da riga di comando e permette agli attaccanti di specificare la percentuale di crittografia dei file. Una volta colpiti, i file assumono l’estensione “.frag”, segnando visibilmente i danni inflitti. Con l’analisi dei Sophos X-Ops, è stato possibile individuare similitudini tra Frag e le varianti precedenti, suggerendo che potrebbe trattarsi di un “nuovo attore” che adotta tattiche già consolidate. Ancora una volta, il modus operandi ruota attorno alla massimizzazione dei danni alle infrastrutture di backup, al fine di costringere le vittime a pagare il riscatto.

    Perché i backup sono sotto attacco?

    I backup sono una risorsa critica: permettono alle organizzazioni di ripristinare i dati senza soccombere alle richieste dei cybercriminali. Tuttavia, se questi sistemi vengono compromessi, le possibilità di recupero crollano drasticamente, aumentando la pressione sul pagamento del riscatto. Gli attacchi mirati a backup e sistemi di ripristino, come dimostrato da Frag, si stanno trasformando in una tattica prediletta dagli attori malevoli, che colpiscono il punto nevralgico della resilienza aziendale.

    Consigli per difendersi

    1. Applicare subito le patch per le versioni vulnerabili di Veeam Backup & Replication.
    2. Isolare i server di backup da Internet, dove possibile, per ridurre l’esposizione a potenziali attacchi.
    3. Implementare l’autenticazione multi-fattore per accedere ai sistemi di gestione dei backup, aumentando così le barriere di sicurezza.
    4. Attivare un monitoraggio continuo per rilevare attività sospette o comportamenti anomali, fondamentali per intercettare i segnali di un potenziale attacco.

    Conclusioni

    Con varianti come Frag e gruppi come STAC 5881 in circolazione, le organizzazioni devono reagire con rapidità e rigore. I criminali informatici si evolvono senza tregua, pronti a colpire infrastrutture critiche e, in questo caso, i sistemi di backup su cui molte aziende fanno affidamento per sopravvivere. Il messaggio è chiaro: non possiamo permetterci di abbassare la guardia. Una patch trascurata o una protezione obsoleta possono significare il crollo dei sistemi, la perdita di dati critici e, inevitabilmente, gravi danni reputazionali e finanziari.

    Per gli amministratori IT, è tempo di agire, aggiornare e proteggere – e farlo subito!

    Luca Galuppi
    Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Non sono ancora chiari i motivi del grande blackout in Spagna e Portogallo

    Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...

    Spagna e Portogallo al buio e sospetti di attacco informatico. NoName e DarkStorm Rivendicano

    Un’improvvisa e massiccia interruzione di corrente ha colpito la Penisola Iberica, gettando vaste zone di Spagna e Portogallo al buio e causando significative interruzioni alle infras...

    Cyberattacchi senza precedenti: il Report DarkMirror di DarkLab lancia l’allarme per l’Italia

    Il report DarkMirror Q1 2025 di DarkLab, il laboratorio di Cyber Threat Intelligence di Red Hot Cyber, offre un’analisi dettagliata dell’evoluzione del ransomware in Italia e nel mondo. ...

    Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

    Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

    25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

    Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...