A Sophos X-Ops relatou recentemente novos casos de ataque em que atores de ameaça exploraram uma vulnerabilidade em servidores de backup da Veeam para implantar um novo ransomware chamado “Frag”. A falha de segurança, identificada como CVE-2024-40711, faz parte de um grupo de atividades maliciosas monitorado sob o nome STAC 5881.

Nos ataques, os invasores usaram appliances VPN comprometidos para obter acesso e exploraram a vulnerabilidade do Veeam para criar uma conta de administrador local chamada “point”. Casos anteriores dentro deste grupo de ataques resultaram na implantação dos ransomwares Akira ou Fog. O Akira, identificado pela primeira vez em 2023, teve sua atividade temporariamente suspensa em outubro, mas continua ativo. Já o Fog surgiu em maio deste ano.

Em um caso recente, os analistas de resposta a incidentes da Sophos (MDR) detectaram novamente táticas associadas ao grupo STAC 5881, mas desta vez com a utilização do ransomware “Frag”, que até então era desconhecido. Seguindo o mesmo padrão de ataques anteriores, os invasores comprometeram o acesso por meio de uma appliance VPN, exploraram a vulnerabilidade no Veeam e criaram a conta “point”. No entanto, neste ataque específico, uma segunda conta, “point2”, também foi criada, sugerindo uma evolução nas táticas do grupo.

O ransomware Frag é executado na linha de comando, com vários parâmetros disponíveis, sendo obrigatório o parâmetro que determina o percentual de criptografia dos arquivos. Os atacantes podem selecionar diretórios ou arquivos individuais para criptografar. Arquivos comprometidos recebem a extensão “.frag”, e o ransomware foi bloqueado pela funcionalidade CryptoGuard da Sophos, que detectou a atividade maliciosa. Um novo módulo de detecção foi adicionado para identificar o binário do Frag em ataques futuros.