Cibercriminosos exploram falha no Veeam para espalhar ransomware e roubar dados
Uma nova série de ataques de ransomware está explorando a vulnerabilidade crítica CVE-2024-40711, encontrada no software Veeam Backup & Replication. Segundo um alerta recente da Sophos, hackers têm aproveitado essa falha, juntamente com credenciais comprometidas, para criar contas não autorizadas e instalar variantes de ransomware, como Fog e Akira. Empresas que utilizam essa solução de backup são aconselhadas a atualizar seus sistemas e reforçar as defesas de acesso remoto com urgência.
Detalhes da Vulnerabilidade CVE-2024-40711
A vulnerabilidade, que recebeu uma pontuação CVSS de 9,8, está relacionada a uma falha de desserialização de dados não confiáveis. Essa brecha permite que invasores executem código remotamente sem autenticação, tornando-a extremamente perigosa. Em diversos incidentes documentados pela Sophos, a falha foi explorada em versões desatualizadas do Veeam Backup & Replication, abrindo caminho para ataques de ransomware.
Casos Documentados
Em um dos casos relatados, o ransomware Fog foi implantado em um servidor Hyper-V desprotegido. Em outro incidente no mesmo período, hackers tentaram instalar o ransomware Akira, aproveitando gateways VPN comprometidos, que estavam desatualizados ou sem autenticação multifator (MFA) ativada. Esses ataques destacam a importância de manter sistemas atualizados e adotar práticas de segurança robustas.
Recomendação de Atualização e Segurança
Para mitigar os riscos, é essencial que as empresas atualizem o Veeam Backup & Replication para a versão 12.2.0.334 ou posterior, garantindo proteção contra essa vulnerabilidade. Além disso, reforçar as defesas de acesso remoto, como implementar MFA e monitorar o uso de VPNs, é fundamental para prevenir acessos não autorizados.
Fonte: BoletimSec