שרתי הגיבוי של Veeam הפכו למוקד מתקפות סייבר על ידי לפחות קבוצה אחת של האקרים הידועים כעובדים עם כנופיות כופרה בפרופיל גבוה. פעילות זדונית ומתקפות סייבר נצפו מאז ה- 28 במרץ, פחות משבוע לאחר גילוי פגיעות אבטחה בתוכנת הגיבוי והשכפול של Veeam (VBR). בעיית האבטחה חושפת אישורים מוצפנים המאוחסנים בתצורת VBR למשתמשים בלתי מאומתים בתשתית הגיבוי. מצב זה יכול לשמש פושעי סייבר לשם גישה למארחי תשתית הגיבוי.
חוקרי איומים בחברת אבטחת הסייבר והפרטיות הפינית WithSecure ציינו בדו"ח כי המתקפות בהן צפו בסוף מרץ כוונו לשרתים המריצים תוכנת גיבוי ושכפול Veeam שהיו נגישים דרך האינטרנט. הטקטיקות, הטכניקות והנהלים היו דומים לפעילות שיוחסה בעבר לכנופיית FIN7. בהתבסס על תזמון המתקפות, פתיחת יציאת TCP 9401 בשרתים שנפגעו והמארחים המריצים גרסה פגיעה של VBR, מאמינים החוקרים שההאקרים ניצלו ככל הנראה את הפגיעות של Veeam לצורך גישה וביצוע קוד זדוני. ברגע שהשיגו גישה למארח, השתמשו ההאקרים בנוזקות שלהם, בפקודות שונות ובסקריפטים מותאמים אישית כדי לאסוף מידע מערכת ורשת, כמו גם אישורים ממסד הנתונים של גיבוי Veeam.
WithSecure דיווחו גם כי ההאקרים הצליחו להישאר במערכת. באמצעות האישורים הגנובים, הסתמכו ההאקרים על פרוטוקול התקשורת SMB כדי להפיל סקריפטים של PowerShell על השיתופים הניהוליים של היעד. המטרה הסופית של ההאקרים במתקפה זו נותרה לא ברורה, מכיוון שהמתקפות נקטעו לפני שתילת או ביצוע המטען הסופי. עם זאת, אומרים החוקרים כי ייתכן שהפריצות הסתיימו בפריסת כופרה אם שרשרת המתקפה הושלמה בהצלחה. גניבת נתונים יכולה הייתה להיות תוצאה אפשרית נוספת.
WithSecure ממליצים לארגונים המשתמשים בתוכנת הגיבוי של Veeam לחפש סימני פגיעות ברשת שלהם. גם אם השיטה המדויקת להפעלת פקודות המעטפת הראשוניות נותרה עלומה והראיות לניצול הפגיעות לא היו ברורות, על חברות לתעדף את תיקון הפגיעות מכיוון שפושעי סייבר אחרים עשויים לנסות למנף אותה.
כנופיית FIN7 ידועה בשותפות שלה עם מפעילי כופרה שונים, כולל אלו המנוהלים על ידי סינדיקט Conti הידוע לשמצה, REvil, Maze, Egregor ו- BlackBasta. לאחרונה פרסמו חוקרי IBM דוח על כך ש- FIN7 שיתפו פעולה עם חברי Conti לשעבר כדי להפיץ זן חדש של נוזקה בשם Domino המספקת גישה למארח שנפגע וגם מאפשר לשתול משואה של Cobalt Strike להגברת הנוכחות ברשת המחשוב.