Gli esperti di Mandiant hanno rilevato diversi attacchi con il ransomware BlackCat (ALPHV) che sfruttano tre vulnerabilità del software Veritas Backup Exec come “porta di ingresso” ai computer delle vittime. Il gruppo BlackCat è nato a fine 2021 dopo la chiusura delle attività di DarkSide e BlackMatter, dei quali rappresenta quindi il successore.
BlackCat sfrutta Veritas Backup Exec
Gli autori dell’attacco, avvenuto a fine 2022, sono stati indicati da Mandiant come UNC4466. Le tre vulnerabilità (CVE-2021-27876, CVE-2021-27877 e CVE-2021-27878) sono state corrette all’inizio del 2021, ma attualmente ci sono oltre 8.500 installazioni ancora esposte su Internet. Dopo aver ottenuto l’accesso ai server Veritas Back Exec, i cybercriminali hanno usato Metasploit per creare una sessione remota e mantenere la persistenza.
Successivamente sono stati utilizzati i tool Advanced IP Scanner e ADRecon per effettuare la scansione della rete, individuare porte aperte e raccogliere varie informazioni su account, host e hardware. Sfruttando Background Intelligent Transfer Service (BITS) sono stati scaricati altri tool, come LaZagne, Ligolo, Winsw, Rclone, oltre al payload finale, ovvero il ransomware BlackCat.
La comunicazione con il server C2 (command and control) avviene tramite tunneling SOCK5. Per rubare le credenziali e ottenere privilegi elevati sono stati usati altri tool, tra cui Mimikatz, LaZagne e Nanodump. Per aggirare i controlli di sicurezza sono stati ripuliti i log di sistema e disattivato il monitoraggio in tempo reale di Microsoft Defender. Ovviamente la soluzione migliore per evitare rischi è installare la versione 21.2 o successive di Veritas Backup Exec.