Uma falha de segurança, que já foi corrigida, foi descoberta no software Veeam Backup & Replication e está sendo explorada por uma nova operação de ransomware conhecida como EstateRansomware. Os pesquisadores identificaram o agente de ameaça no início de abril de 2024 e relataram que o modus operandi envolvia a exploração da vulnerabilidade CVE-2023-27532, com uma pontuação CVSS de 7.5, para realizar atividades maliciosas. O acesso inicial ao ambiente alvo foi facilitado através de um dispositivo Fortinet FortiGate firewall SSL VPN usando uma conta inativa.

Yeo Zi Wei, pesquisador de segurança, explicou em uma análise recentemente publicada que o agente de ameaça se movimentou lateralmente a partir do firewall FortiGate, utilizando o serviço SSL VPN, para alcançar o servidor de failover. Antes do ataque de ransomware, ocorreram tentativas de força bruta de VPN em abril de 2024, utilizando uma conta inativa identificada como ‘Acc1’. Após isso, os agentes de ameaça estabeleceram conexões RDP do firewall para o servidor de failover e procederam à implantação de uma backdoor persistente chamada “svchost.exe”, que é executada diariamente através de uma tarefa agendada.

A backdoor implantada pelos agentes de ameaça tem como principal função conectar-se a um servidor de comando e controle (C2) via HTTP e executar comandos arbitrários emitidos pelo invasor. Esta estratégia permitiu acesso subsequente à rede utilizando a backdoor para evitar detecção e facilitar a execução de atividades maliciosas dentro do ambiente comprometido.