Nov142024

Veeam Backup & Replication sotto attacco

I backup aziendali, fondamentali per la resilienza informatica, sono sempre più nel mirino dei criminali, come evidenziato dal recente attacco ransomware Frag contro Veeam Backup & Replication. Attaccare le catene di backup è una mossa strategica per i criminali: neutralizzando i sistemi di recupero, i criminali mettono le aziende sotto pressione e di fronte a scelte difficili.

 

Perché proprio i Backup?

Per i cybercriminali i backup rappresentano un elemento critico dell’infrastruttura informatica, in quanto costituiscono un anello fondamentale nella catena dell’integrità dei dati aziendali; le copie di recupero permettono di rimettere in piedi un sistema funzionante in caso di incidenti o di attacchi.
Per questo motivo comprometterne l’integrità rappresenta dei grandi vantaggi: senza copie funzionanti le aziende non possono ripristinare i dati in caso di attacco crittografico, risultando alla mercé dei criminali e le loro richieste di riscatto, per evitare perdite irreversibili o lunghi periodi di inattività.

 

L’attacco Frag e la vulnerabilità di Veeam Backup & Replication

Il gruppo noto come STAC 5881 avrebbe utilizzato VPN compromesse per ottenere un punto d’accesso inziale all’interno delle reti aziendali, dove hanno seguito l’attacco sfruttando la vulnerabilità critica presente sui sistemi Veeam (CVE-2024-40711, 9.8/10 nella scala CVSS), mettendo in atto l’attacco ransomware Frag e compromettendo gli archivi di sicurezza.
La falla di sicurezza interessa le versioni di Veeam 12.1.2.172 e precedenti.
È importante notare che Veeam ha rilasciato una patch a settembre 2024, tuttavia molte aziende non hanno ancora aggiornato i propri sistemi, rimanendo esposte a rischi significativi.

 

Le Caratteristiche di Frag

Frag è una nuova variante del classico attacco Ransomware, con il quale sempre più aziende devono fare i conti tutti i giorni.
Attraverso la riga di comando, gli hacker sono in grado di crittografare i dati della vittima, che risultano illeggibili e identificati dall’estensione “.frag”, un marchio inconfondibile del danno subito. A questo punto gli attaccati si ritrovano con un ambiente informatico completamente paralizzato, a meno che non paghino il “ransom” (riscatto).

 

Cosa devono fare le aziende?

Per proteggersi da minacce come il ransomware Frag, le organizzazioni dovrebbero:

  1. Applicare le patch di sicurezza: assicurarsi di installare tempestivamente tutti i nuovi aggiornamenti e tutte le patch per bloccare le vulnerabilità critiche;
  2. Rafforzare i protocolli di sicurezza: Implementare l’autenticazione a più fattori per gli account sensibili e isolare i server di backup dall’accesso diretto a internet;
  3. Monitorare continuamente: I sistemi di backup devono essere sottoposti a monitoraggio costante per individuare tempestivamente attività sospette;
  4. Rivolgersi a dei professionisti: effettuare una consulenza con un esperto è la procedura migliore per assicurarsi di mettere in sicurezza la propria rete aziendale.

 

L’Importanza di proteggere i Backup

Gli attacchi come quello di cui abbiamo parlato oggi dimostrano quanto sia fondamentale la protezione delle infrastrutture di resilienza. Senza backup sicuri le possibilità di recuperare i dati senza cedere al riscatto diminuiscono drasticamente.
Proteggere la resilienza informatica aziendale non significa solo avere backup, ma anche garantirne l’integrità con protocolli di sicurezza avanzati!