Ransomware di Veeam Backup & Replication
Temuan adanya serangan ransomware di Veeam Backup & Replication (VBR) yang rentan baru-baru ini ditengarai sebagai eksploitasi kerentanan keamanan kritis.
Kerentanan kritis tersebut dieksploitasi oleh geng ransomware, sehingga memungkinkan pelaku memperoleh akses untuk melakukan Remote Control Execution (RCE).
Peneliti keamanan menemukan bahwa kelemahan keamanan, yang kini dilacak sebagai CVE-2024-40711, disebabkan oleh deserialisasi kelemahan data yang tidak tepercaya yang dapat dieksploitasi oleh pelaku ancaman yang tidak diautentikasi dalam serangan dengan kompleksitas rendah.
|
Baca juga: Persiapan Menghadapi Ransomware |
Pembaruan Keamanan
Veeam mengungkapkan kerentanan tersebut dan merilis pembaruan keamanan pada tanggal 4 September, sementara peneliti keamanan menerbitkan analisis teknis pada tanggal 9 September.
Namun, peneliti menunda penerbitan kode eksploitasi bukti konsep hingga tanggal 15 September untuk memberi admin cukup waktu guna mengamankan server mereka.
Penundaan tersebut disebabkan oleh bisnis yang menggunakan perangkat lunak VBR Veeam sebagai solusi perlindungan data dan pemulihan bencana untuk mencadangkan, memulihkan, dan mereplikasi mesin virtual, fisik, dan cloud.
Hal ini menjadikannya target yang sangat populer bagi pelaku kejahatan siber yang mencari akses cepat ke data cadangan perusahaan.
|
Baca juga: Ransomware Jual Decryptor di Platform Game Anak Roblox |
Code White Veeam VBR RCE
Seperti yang ditemukan oleh responden insiden selama bulan lalu, kelemahan atau kerentanan CVE-2024-40711 RCE dengan cepat ditemukan dan dieksploitasi dalam serangan ransomware Akira dan Fog bersama dengan kredensial yang sebelumnya telah dikompromikan untuk menambahkan akun lokal “titik” ke grup Administrator lokal dan Pengguna Desktop Jarak Jauh.
Dalam satu kasus, penyerang menjatuhkan ransomware Fog. Serangan lain dalam jangka waktu yang sama berupaya menyebarkan ransomware Akira. Indikator dalam keempat kasus tersebut tumpang tindih dengan serangan ransomware Akira dan Fog sebelumnya.
Dalam setiap kasus, penyerang awalnya mengakses target menggunakan gateway VPN yang disusupi tanpa mengaktifkan autentikasi multifaktor. Beberapa VPN ini menjalankan versi perangkat lunak yang tidak didukung.
Dalam insiden ransomware Fog, penyerang menyebarkannya ke server Hyper-V yang tidak terlindungi, lalu menggunakan utilitas rclone untuk mencuri data.
|
Baca juga: Panduan Ransomware Singkat |
Bukan Kelemahan Veeam Pertama
Tahun lalu, pada 7 Maret 2023, Veeam juga menambal kerentanan tingkat tinggi dalam perangkat lunak Backup & Replication (CVE-2023-27532) yang dapat dieksploitasi untuk membobol host infrastruktur cadangan.
Beberapa minggu kemudian, peneliti keamanan menemukan eksploitasi CVE-2023-27532 yang disebarkan dalam serangan yang terkait dengan kelompok ancaman FIN7 yang bermotif finansial, yang dikenal karena hubungannya dengan operasi ransomware Conti, REvil, Maze, Egregor, dan BlackBasta.
Beberapa bulan kemudian, eksploitasi Veeam VBR yang sama digunakan dalam serangan ransomware Kuba terhadap infrastruktur penting AS dan perusahaan TI Amerika Latin.
Veeam mengatakan produknya digunakan oleh lebih dari 550.000 pelanggan di seluruh dunia, termasuk sedikitnya 74% dari semua perusahaan Global 2.000.
Sampai di sini dulu pembahasan kita tentang ransomware di Veeam Backup & Replication, semoga informasi seputar ransomware tersebut dapat bermanfaat.
Sumber berita:
