frag-note-redact
Ricerche sulle CyberMinacce

L’exploit VEEAM viene nuovamente utilizzato con un nuovo ransomware: “Frag”

Nuova minaccia ransomware sfrutta una vulnerabilità Veeam: Sophos segnala 'Frag', un malware sofisticato e personalizzabile in grado di cifrare selettivamente i file

Il mese scorso Sophos X-Ops ha segnalato diversi casi di MDR in cui gli aggressori hanno sfruttato una vulnerabilità nei server di backup Veeam. Continuiamo a seguire le attività di questo gruppo di minacce, che di recente hanno incluso la distribuzione di un nuovo ransomware. La vulnerabilità, CVE-2024-40711, è stata utilizzata nell’ambito di un gruppo di attività di minacce che abbiamo denominato STAC 5881. Gli attacchi hanno sfruttato dispositivi VPN compromessi per l’accesso e hanno utilizzato la vulnerabilità VEEAM per creare un nuovo account amministratore locale denominato “point”.

In alcuni casi, questo cluster ha portato alla diffusione del ransomware Akira o Fog. Akira è stato rilevato per la prima volta nel 2023 e sembra essere inattivo dalla metà di ottobre, con il suo sito utilizzato per il furto di informazioni ora offline. Fog è apparso all’inizio di quest’anno, per la prima volta a maggio. In un caso recente, gli analisti di MDR hanno nuovamente osservato le tattiche associate allo STAC 5881, ma questa volta hanno riscontrato la distribuzione di un ransomware precedentemente non documentato, chiamato “Frag”.

frag-note-redact
Figura 1: La nota di riscatto di Frag.

Come negli eventi precedenti, l’aggressore ha utilizzato un dispositivo VPN compromesso per l’accesso, ha sfruttato la vulnerabilità VEEAM e ha creato un nuovo account denominato “‘point’”.

Tuttavia, in questo caso è stato creato anche un account “point2”.

Frag viene eseguito da riga di comando con una serie di parametri, di cui uno richiesto: la percentuale di cifratura dei file. L’aggressore può specificare directory o singoli file da cifrare.

frag_commandline
Figura 2. Il ransomware Frag è dotato di un parametro di aiuto per guidare gli aggressori.

Quando vengono cifrati, i file ricevono un’estensione .frag. In questo caso, il ransomware è stato bloccato dalla funzione CryptoGuard di Sophos endpoint protection.  Nel frattempo, è stato creato un rilevamento per il binario del ransomware.

Figura 2: L’estensione “.frag” aggiunta ai file cifrati

La somiglianza tra le tattiche, le tecniche e le pratiche dell’attore dietro Frag e quelle utilizzate dagli aggressori di Akira e Fog è stata riscontrata anche da Agger Labs. Sophos X-Ops sta monitorando attentamente la possibile comparsa di un nuovo attore ransomware con comportamenti già visti nel ransomware Akira. Continueremo a tenere traccia di questo comportamento delle minacce. Aggiorneremo questo post con ulteriori dettagli tecnici non appena saranno disponibili.