【新闻转载】突破最后一道安全防线：多个勒索家族盯上Veeam备份漏洞，大规模数据勒索来袭

点击蓝字关注我们

近期，Veeam备份软件的一个高危漏洞（CVE-2024-40711）成了黑客的新宠，直接打开了企业网络的大门。Sophos监测到多个勒索软件组织，包括Fog和Akira，正通过这个漏洞开展真实攻击。黑客利用被盗VPN凭证或旧版无多因素认证的VPN网关进入系统，绕过身份验证，控制Veeam服务，创建本地管理账户，甚至借助Rclone等工具外泄数据。这一漏洞的利用成本低、效率高，让企业不得不重新审视自己的安全防护水平。本文将深入解析漏洞的利用方式及其影响，并对FOG勒索家族由来、攻击手法等方面进行介绍，帮助企业预防此类攻击。

1.背景描述

9月初，Veeam对其备份软件Backup & Replication中存在的关键漏洞CVE-2024-40711进行了紧急修复。该漏洞源于系统未对外部数据的可信度进行验证便执行反序列化操作，导致未经授权的恶意载荷可远程执行代码（RCE），风险评分高达9.8。这类高危漏洞往往是勒索软件攻击者的首选目标。

2.攻击现状

根据Sophos的监控报告，Fog和Akira等勒索软件家族迅速利用该漏洞发起攻击。在这些案例中，攻击者通常通过已失窃的VPN凭证或未设置多因素认证的旧版VPN网关获得初始访问权限，进而利用CVE-2024-40711漏洞在受害系统中执行恶意操作。例如，在一起Fog勒索软件事件中，攻击者在未防护的Hyper-V服务器上植入了勒索软件，并通过rclone工具将敏感数据外泄。

3.攻击方式

攻击者首先通过8000端口触发Veeam漏洞，利用Veeam.Backup.MountService.exe生成恶意“net.exe”程序，以创建名为"point"的本地账户并将其加入本地管理员和远程桌面用户组，从而获得系统的完全控制权。黑客随后禁用关键防护机制并清除备份文件，使受害企业几乎只能支付赎金才能恢复数据。

勒索软件黑客利用Backup & Replication软件漏洞的勒索软件攻击并非首次发生。例如，今年7月，安全公司Group-IB报告称，有人利用去年3月已修复的CVE-2023-27532漏洞，尝试部署Estate勒索软件。

4.Fog勒索家族

4.1简介

FOG勒索病毒是一种基于STOP/DJVU勒索软件家族的变种，最早于2021年被检测到，主要通过被盗的VPN凭证来入侵网络。FOG起初针对教育和娱乐行业展开攻击，但2024年开始扩大目标，逐渐向金融行业等更高利润的领域发展。该家族的攻击特点是通过“哈希传递” (pass-the-hash) 攻击及暴力破解等手段迅速提升权限，从而获得系统的管理控制权。

在取得访问权限后，FOG会禁用关键安全防护机制，清除系统备份文件（如Veeam和卷影副本），并加密关键文件（例如虚拟机磁盘文件VMDKs），使受害者几乎只能选择支付赎金来恢复数据。这类攻击通常附带“readme.txt”勒索说明，指导受害者通过Tor网络进行支付和协商。

FOG勒索软件的感染机制相对复杂，攻击者常利用网络扫描工具（如Advanced Port Scanner和PsExec）进行网络枚举，并在多个系统间横向移动，甚至使用Rclone等工具进行数据的潜在泄露。在部分金融机构的案例中，Adlumin安全平台通过其诱饵文件检测技术及时检测并隔离了感染设备，有效阻止了勒索病毒的进一步传播。

4.2加密后缀

.flocked
.fog
.Fog

4.3勒索信

README.txt

If you are reading this, then you have been the victim of a cyber attack. We call ourselves Fog and we take responsibility for this incident. You can check out our blog where we post company data: xbkv2qey6u3gd3qxcojynrt4h5sgrhkar6whuo74wo63hijnn677jnyd.onion You might appear there if you opt out of our communication.
We are the ones who encrypted your data and also copied some of it to our internal resource. The sooner you contact us, the sooner we can resolve this incident and get you back to work. 
To contact us you need to have Tor browser installed: 

1. Follow this link: 
2. Enter the code: 
3. Now we can communicate safely. 

If you are decision-maker, you will get all the details when you get in touch. We are waiting for you.
If you are reading this, then you have been the victim of a cyber attack. We call ourselves Fog and we take responsibility for this incident. You can check out our blog where we post company data: xbkv2qey6u3gd3qxcojynrt4h5sgrhkar6whuo74wo63hijnn677jnyd.onion You might appear there if you opt out of our communication.
We are the ones who encrypted your data and also copied some of it to our internal resource. The sooner you contact us, the sooner we can resolve this incident and get you back to work. 
To contact us you need to have Tor browser installed: 

1. Follow this link: 
2. Enter the code: 
3. Now we can communicate safely. 

If you are decision-maker, you will get all the details when you get in touch. We are waiting for you.

4.4攻击手法

4.4.1初始访问

FOG勒索病毒通过利用被盗的VPN凭证或有效用户凭证进入目标网络，从而绕过外部安全防护，获取初始访问权限。

4.4.2权限提升

在进入网络后，FOG操作人员通过“哈希传递”（pass-the-hash）攻击直接入侵管理员账户。此外，他们还会暴力破解用户账户，使用自定义PowerShell脚本，甚至从浏览器和NT目录服务（NTDS.dit）中提取密码，以提升权限。

4.4.3持久性

为了在系统中长期驻留，该团伙会在Windows服务器上建立RDP连接，使用凭证填充攻击控制更多账户，甚至创建新用户确保持续访问。FileZilla和反向SSH Shell工具也被用来在系统中保持持久性。

4.4.4信息收集

该团伙在被感染的系统中部署Metasploit和PsExec工具，并使用Advanced Port Scanner、LOLBins、SharpShares和SoftPerfect Network Scanner等工具来获取网络中的设备和数据，以扩大控制范围。

4.4.5规避检测

攻击者在受感染的Windows服务器上禁用Windows Defender，终止关键进程和服务，从而绕过安全检测。FOG还利用Windows API收集系统信息，终止特定服务，并对虚拟机磁盘（VMDK）等关键文件进行加密，同时删除Veeam和Windows卷影副本的备份文件，并将“.FOG”或“.FLOCKED”后缀添加到加密文件中。

4.4.6勒索程序

一旦文件被加密，FOG会在受影响的目录中创建一个名为“readme.txt”的勒索说明，引导受害者访问Tor站点进行支付和谈判。该站点提供聊天界面，允许受害者与攻击者协商赎金，这些赎金对大型组织来说可能高达数十万美元。

4.4.7数据泄露

FOG勒索团伙在数据泄露过程中，通常使用7-Zip、第三方云服务和WinRAR等工具来转移数据，以进一步威胁受害者支付赎金。

4.5FOG暗网平台

4.5.1主页

4.5.2谈判页

5.及时补丁和安全建议

Veeam公司于2024年9月4日迅速披露了该漏洞并发布了安全更新。随后，watchTowr实验室在9月9日发布了漏洞的技术分析。为确保管理员有充足时间对系统进行加固，他们推迟至9月15日才公开概念验证的利用代码（proof-of-concept exploit code）。由于Veeam产品被广泛应用，这些漏洞可能会成为恶意攻击者的目标，快速访问备份数据，强调了及时修补安全漏洞的重要性。

漏洞主要影响多个Veeam产品，带来显著的安全风险。其中包括广泛用于数据保护和灾难恢复的Veeam Backup & Replication。此外，Veeam Agent for Linux也受到影响，Veeam ONE作为备份操作的监控和分析工具同样存在漏洞。

同时，Veeam Service Provider Console、Veeam Backup for Nutanix AHV、Veeam Backup for Oracle Linux Virtualization Manager和Red Hat Virtualization也在受影响产品名单中。使用这些产品的企业应立即采取措施，确保系统安全，避免潜在的漏洞被恶意利用。

以下是solar安全团队近期处理过的常见勒索病毒后缀：后缀.lol勒索病毒,后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。