Il ransomware ALPHV sfrutta i bug di Veritas Backup Exec per l'accesso iniziale

È stato osservato che un ransomware affiliato ALPHV/BlackCat sfruttava tre vulnerabilità che interessavano il prodotto Veritas Backup per l'accesso iniziale alla rete di destinazione.

L'operazione ransomware ALPHV è emersa nel dicembre 2021 ed è considerata gestita da ex membri dei programmi Darkside e Blackmatter che si sono interrotti bruscamente per sfuggire alle pressioni delle forze dell'ordine.

Mandiant traccia l'affiliato ALPHV come "UNC4466" e osserva che il metodo è una deviazione dalla tipica intrusione

che si basa su credenziali rubate.

    CVE-2021-27876: difetto di accesso ai file arbitrario causato da un errore nello schema di autenticazione SHA, che consente a un utente malintenzionato remoto di ottenere l'accesso non autorizzato agli endpoint vulnerabili. (Punteggio CVSS: 8.1)

    CVE-2021-27877: accesso remoto non autorizzato ed esecuzione di comandi privilegiati all'agente BE tramite l'autenticazione SHA. (Punteggio CVSS: 8.2)

    CVE-2021-27878: difetto di esecuzione del comando arbitrario risultato di un errore nello schema di autenticazione SHA, che consente a un utente malintenzionato remoto di ottenere l'accesso non autorizzato agli endpoint vulnerabili. (Punteggio CVSS: 8,8)

Tutti e tre i difetti hanno un impatto sul software Veritas Backup.

Il fornitore li ha resi noti nel marzo 2021 e ha rilasciato una correzione con la versione 21.2. Tuttavia, nonostante siano trascorsi più di due anni da allora, molti endpoint rimangono vulnerabili poiché non sono stati aggiornati a una versione sicura.

Mandiant afferma che un servizio di scansione commerciale ha mostrato che sul Web pubblico sono presenti più di 8.500 indirizzi IP che pubblicizzano il servizio "Symantec/Veritas Backup Exec ndmp" sulla porta predefinita 10000 e sulle porte 9000 e 10001.

"Sebbene questo risultato di ricerca non identifichi direttamente i sistemi vulnerabili, poiché le versioni dell'applicazione non erano identificabili, dimostra la prevalenza di istanze esposte a Internet che potrebbero essere potenzialmente analizzate dagli aggressori" - Mandiant

Un modulo Metasploit per sfruttare queste vulnerabilità è stato rilasciato al pubblico il 23 settembre 2022. Il codice consente agli aggressori di creare una sessione e interagire con gli endpoint violati.

Secondo Mandiant, UNC4466 ha iniziato a utilizzare il particolare modulo un mese dopo che è diventato disponibile.

Dettagli dell'attacco

Secondo le osservazioni di Mandiant, UNC4466 compromette un server Windows esposto a Internet che esegue Veritas Backup Exec utilizzando il modulo Metasploit disponibile pubblicamente e mantiene un accesso permanente all'host.

Dopo la compromissione iniziale, l'autore della minaccia ha utilizzato Advanced IP Scanner e le utilità ADRecon per raccogliere informazioni sull'ambiente della vittima.

Successivamente, hanno scaricato strumenti aggiuntivi sull'host come LAZAGNE, LIGOLO, WINSW, RCLONE e, infine, il crittografo ransomware ALPHV tramite il servizio di trasferimento intelligente in background (BITS).

L'autore della minaccia ha utilizzato il tunneling SOCKS5 per comunicare con il server di comando e controllo (C2).

I ricercatori spiegano che UNC4466 ha utilizzato i trasferimenti BITS per scaricare gli strumenti di tunneling SOCKS5 e ha distribuito il payload del ransomware aggiungendo attività immediate alla policy di dominio predefinita, disabilitando il software di sicurezza ed eseguendo il crittografo.

Per aumentare i privilegi, UNC4466 utilizza Mimikatz, LaZagne e Nanodump per rubare credenziali utente valide.

Infine, l'autore della minaccia elude il rilevamento cancellando i registri eventi e disabilitando la funzionalità di monitoraggio in tempo reale di Microsoft Defender.