# Frag Ransomware > [!high] Ransomware explorador de CVE-2024-40711 no Veeam > O Frag é um ransomware operado pelo grupo **STAC 5881** que ganhou notoriedade em 2024 ao explorar ativamente a vulnerabilidade crítica **CVE-2024-40711** no Veeam Backup & Replication. Notável pela utilização exclusiva de ferramentas nativas do sistema operacional (LOLBins), minimizando o footprint e dificultando a detecção. ## Visão Geral O Frag Ransomware surgiu no cenário de ameaças no segundo semestre de 2024, operado por um grupo de ameaça rastreado como STAC 5881 pela Sophos X-Ops. O que diferencia o Frag de outros ransomwares é sua abordagem estratégica de explorar vulnerabilidades em software de backup corporativo - específicamente o Veeam Backup & Replication - para maximizar o impacto nos alvos. A vulnerabilidade central explorada pelo Frag é o [[cve-2024-40711|CVE-2024-40711]], uma falha de execução remota de código sem autenticação no Veeam Backup & Replication. Ao comprometer o sistema de backup antes de criptografar arquivos, os operadores do Frag aumentam significativamente a pressão sobre as vítimas, que se veem sem opção de recuperação rápida via backups. O comportamento lembra táticas de [[conti-ransomware-campaigns]], que também visava destruir backups antes de criptografar. O grupo STAC 5881 demonstra sofisticação operacional ao empregar exclusivamente LOLBins (Living-off-the-Land Binaries) - ferramentas legítimas do Windows como `net.exe`, `vssadmin.exe` e outros utilitários do sistema - para execução de tarefas pós-comprometimento. Essa abordagem reduz drasticamente a probabilidade de detecção por soluções antivírus e EDR que dependem de assinaturas de malware. A relevância para o Brasil e LATAM é direta: o Veeam Backup & Replication é o software de backup mais popular entre empresas de médio e grande porte na região. Organizações que ainda utilizam versões vulneráveis (anteriores a 12.1.2.172) e que não aplicaram o patch de setembro de 2024 estão expostas a ataques que comprometem simultaneamente dados de produção e backups. Setores como [[financial]] e [[government]] são alvos frequentes desse vetor de ataque. > [!latam] Relevância para o Brasil > **Frag Ransomware** é ameaça crítica ao Brasil: o **Veeam Backup & Replication** é amplamente utilizado em data centers e empresas de médio e grande porte no país. A exploração do **CVE-2024-40711** — que permite RCE sem autenticação — combinada com a destruição de backups antes da criptografia cria um cenário de recuperação extremamente difícil. Organizações dos setores **financeiro e governo** que não aplicaram o patch de setembro de 2024 permanecem em alto risco. ## Análise Técnica ### Cadeia de Exploração O Frag segue uma cadeia de ataque bem definida, iniciando pela exploração do CVE-2024-40711 para ganhar acesso inicial ao servidor Veeam: ```mermaid graph TB A["🌐 Exposição do Veeam<br/>Porta 9401/TCP exposta"] --> B["💥 Exploração CVE-2024-40711<br/>RCE sem autenticação"] B --> C["👤 Criação de Conta Local<br/>net.exe / conta SUPPORT"] C --> D["🔑 Movimento Lateral<br/>RDP / SMB com conta criada"] D --> E["🗑️ Destruição de Backups<br/>vssadmin delete shadows /all"] E --> F["🔒 Criptografia com Frag<br/>Extensão .frag adicionada"] F --> G["📋 Nota de Resgate<br/>how_to_decrypt.txt"] ``` ### Estratégia LOLBins A estratégia de LOLBins é central para o sucesso do Frag em evadir detecções. As ferramentas nativas do sistema utilizadas incluem: | Ferramenta | Uso Malicioso | Técnica MITRE | |-----------|---------------|---------------| | `net.exe` | Criação de contas locais privilegiadas | T1136.001 | | `vssadmin.exe` | Deleção de shadow copies | T1490 | | `wmic.exe` | Enumeração e execução remota | T1047 | | `certutil.exe` | Download de payloads adicionais | T1105 | | `cmd.exe` | Execução de scripts de preparo | T1059.003 | ### Extensão e Nota de Resgate Arquivos criptografados recebem a extensão `.frag`. A nota de resgate (`how_to_decrypt.txt`) inclui instruções para negociação via site TOR e geralmente menciona exfiltração de dados como pressão adicional (dupla extorsão). ```mermaid graph TB subgraph "Impacto do Ataque Frag" A["📁 Dados de Produção<br/>Criptografados com .frag"] --> D["💰 Demanda de Resgate<br/>Via TOR"] B["💾 Backups Veeam<br/>Destruídos / Inacessíveis"] --> D C["📤 Dados Exfiltrados<br/>Dupla Extorsão"] --> D D --> E["⏰ Prazo de Pagamento<br/>Pressão máxima em 72h"] end ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do CVE-2024-40711 no Veeam | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Criação e abuso de contas locais | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução via LOLBins | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia com extensão .frag | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies via vssadmin | ## Detecção e Defesa ### Prioridade: Patch Imediato A primeira linha de defesa é aplicar o patch do [[cve-2024-40711|CVE-2024-40711]] imediatamente. A Veeam lançou correção em setembro de 2024 na versão 12.1.2.172. ### Indicadores de Comprometimento > [!ioc]- IOCs - Frag Ransomware (TLP:GREEN) > **Extensão de arquivos criptografados:** > `.frag` > > **Nota de resgate:** > `how_to_decrypt.txt` > > **Comportamento suspeito:** > - Criação de conta local "SUPPORT" ou similar por processo Veeam > - Execução de `vssadmin delete shadows /all /quiet` por processo não autorizado > - Acessos massivos de escrita em múltiplos diretórios simultaneamente > - Processos Veeam iniciando subprocessos `cmd.exe` ou `net.exe` > > **Fontes:** [Sophos X-Ops - Frag Ransomware](https://news.sophos.com/en-us/2024/11/18/frag-ransomware/) · [CVE-2024-40711](https://www.veeam.com/kb4649) ### Mitigações Prioritárias 1. **Patch imediato**: Atualizar Veeam B&R para versão 12.1.2.172 ou superior 2. **Isolamento de rede**: Servidores Veeam não devem ter porta 9401 exposta à internet 3. **Monitoramento de contas**: Alertas para criação de contas locais por processos de backup 4. **Proteção de VSS**: Políticas que impeçam deleção de shadow copies por processos não autorizados 5. **Backup imutável**: Implementar backup 3-2-1 com cópia offsite imutável (air-gapped) ## Referências - [Sophos X-Ops - Frag Ransomware Analysis](https://news.sophos.com/en-us/2024/11/18/frag-ransomware/) - [CVE-2024-40711 - Veeam Advisory](https://www.veeam.com/kb4649) - [CISA Alert on Veeam Exploitation](https://www.cisa.gov/news-events/cybersecurity-advisories)