Veeam

Source: The DFIR Report — Enquête technique détaillée sur une intrusion aboutissant au déploiement de Lynx ransomware dans un environnement Windows/AD, avec mouvement latéral, exfiltration de données et sabotage des sauvegardes. L’intrusion débute par un logon RDP réussi sur un hôte exposé, à l’aide d’identifiants déjà compromis (probablement via infostealer, réutilisation ou IAB). En 10 minutes, l’acteur passe sur un contrôleur de domaine avec un autre compte Domain Admin compromis, crée des comptes look‑alike (dont “administratr”) et les ajoute à des groupes privilégiés. Il installe AnyDesk pour la persistance (non réutilisé ensuite), cartographie l’infrastructure (Hyper‑V, partages) via SoftPerfect NetScan, puis fait une pause. ...

Selon Trend Micro Research, une campagne sophistiquée d’Agenda (Qilin) combine des leurres de type faux CAPTCHA, l’abus d’outils RMM légitimes et des techniques BYOVD pour déployer et exécuter un binaire de ransomware Linux sur des hôtes Windows, contournant les contrôles et EDR centrés sur Windows. Depuis janvier 2025, 591 victimes dans 58 pays ont été affectées. L’intrusion commence par des pages de faux CAPTCHA hébergées sur l’infrastructure Cloudflare R2 distribuant des infostealers, suivies du déploiement de portes dérobées COROXY (proxies SOCKS) en multiples instances afin d’obfusquer le C2. Les attaquants ciblent ensuite de manière stratégique l’infrastructure de sauvegarde Veeam pour le vol d’identifiants via des scripts PowerShell contenant des charges Base64 et interrogeant plusieurs bases de données Veeam. ...

Selon ZenSec (blog), ce brief synthétise plus de 16 dossiers DFIR sur le groupe de rançongiciel Akira ayant frappé le Royaume‑Uni depuis 2023 (retail, finance, manufacturing, médical). Le groupe, proche de Conti par ses méthodes, opère en double extorsion (vol de données puis chiffrement), avec des attaques « playbook » standardisées. 🚪 Accès initial et découverte: Akira cible en priorité les SSL VPN d’Cisco ASA, SonicWall et WatchGuard, exploitant l’absence de MFA et des CVE comme CVE‑2023‑20269, CVE‑2020‑3259 et CVE‑2024‑40766. La découverte s’appuie sur Netscan (31%), Advanced Port Scanner (25%), Advanced IP Scanner, ainsi que des énumérations PowerShell d’Active Directory (fichiers AdUsers/AdComputers/AdGroups, etc.). Plus rarement, PowerView, SharpShares, Grixba, PingCastle, SharpHound et RvTools sont utilisés. ...

Ce bulletin de vulnérabilité met en lumière plusieurs vulnérabilités critiques découvertes dans les produits Veeam Backup & Replication et Veeam Agent for Microsoft Windows. La première vulnérabilité, identifiée sous le CVE-2025-23121, permet une exécution de code à distance (RCE) sur le serveur de sauvegarde par un utilisateur de domaine authentifié. Cette faille est jugée critique avec un score CVSS de 9.9 et affecte les versions 12.3.1.1139 et antérieures de Veeam Backup & Replication. Elle a été corrigée dans la version 12.3.2 (build 12.3.2.3617). ...