Uma nova onda de ataques de ransomware está explorando uma vulnerabilidade crítica no software Veeam Backup & Replication, identificada como CVE-2024-40711. De acordo com o alerta divulgado pela Sophos nas últimas semanas, hackers têm usado essa falha, juntamente com credenciais comprometidas, para criar contas não autorizadas e tentar instalar variantes de ransomware, como o Fog e o Akira. Empresas que utilizam o Veeam Backup & Replication devem atualizar seus sistemas e reforçar as defesas de acesso remoto com urgência.
A vulnerabilidade CVE-2024-40711, que recebeu uma pontuação CVSS de 9,8, é uma falha de desserialização de dados não confiáveis. Isso significa que os atacantes podem executar código remotamente sem precisar de autenticação, tornando a falha extremamente perigosa. Em vários incidentes documentados pela Sophos, os atacantes usaram a vulnerabilidade CVE-2024-40711 em versões desatualizadas do Veeam Backup & Replication.
Em um dos casos, o ransomware Fog foi implantado em um servidor Hyper-V desprotegido. Em outro ataque, ocorrido no mesmo período, os hackers tentaram instalar o ransomware Akira. Essas invasões foram associadas ao uso de gateways VPN comprometidos, que estavam com versões desatualizadas ou sem autenticação multifator (MFA) ativada.
Para mitigar os riscos, as empresas que utilizam o Veeam Backup & Replication são fortemente recomendadas a atualizar para a versão 12.2.0.334 ou posterior, garantindo assim proteção completa contra essa vulnerabilidade.