Ransomware-ul Cring infecteaza tintele industriale prin legaturile vulnerabile din serverele VPN
7/7576
calendar_month 12 Apr 2021, 13:49
La inceputul anului 2021, infractorii cibernetici au efectuat o serie de atacuri folosind ransomware-ul Cring. Aceste atacuri au fost mentionate de Swisscom CSIRT, dar a ramas neclar modul in care ransomware-ul infecteaza reteaua unei organizatii. O ancheta de incident efectuata de expertii Kaspersky ICS CERT la una dintre companiile atacate a dezvaluit ca atacurile ransomware-ului Cring exploateaza o vulnerabilitate din serverele VPN. Victimele acestor atacuri includ companii industriale din tarile europene. In cel putin un caz, un atac al ransomware-ului a dus la inchiderea temporara a unui centru de productie.

In 2019, a devenit cunoscuta vulnerabilitatea CVE-2018-13379 in serverele Fortigate VPN. Problema a fost constatata si reparata, insa nu toate dispozitivele au fost actualizate – iar din toamna anului 2020 au inceput sa apara pe forumurile dark web oferte de achizitie a unei liste de adrese IP ale dispozitivelor vulnerabile conectate. Cu aceasta, un atacator neautentificat se poate conecta la aparat prin internet si poate accesa de la distanta fisierul sesiunii, care contine numele de utilizator si parola, date stocate intr-un text necriptat.

Analiza realizata de expertii Kaspersky ICS CERT a dezvaluit ca, in seria atacurilor cu ransomware-ul Cring, atacatorul a exploatat vulnerabilitatea CVE-2018-13379 pentru a avea acces la reteaua companiei.

Ancheta a aratat ca, in urma cu ceva timp, inainte de faza principala a operatiunii, atacatorii se conectasera de test la gateway-ul VPN, pentru a se asigura ca acreditarile de utilizare furate pentru VPN erau inca valabile.

In ziua atacului, dupa ce au primit acces la primul sistem din reteaua companiei, atacatorii au folosit aplicatia Mimikatz pentru acel system, pentru a fura datele de cont ale utilizatorilor Windows care fusesera conectati anterior la sistemul compromis.
Atacatorii au avut noroc sa compromita chiar contul de administrator principal, dupa care au inceput sa se raspandeasca catre alte sisteme din reteaua organizatiei, folosindu-se de faptul ca administratorul avea drepturi de a accesa toate sistemele din retea cu contul sau.

Dupa ce au analizat situatia si au obtinut controlul sistemelor importante pentru operatiunile companiei industriale, atacatorii au descarcat si au lansat ransomware-ul Cring.

Potrivit expertilor, lipsa actualizarilor la solutia de securitate utilizata pe sistemele atacate a jucat, de asemenea, un rol cheie, impiedicand sistemul sa detecteze si sa blocheze amenintarea. De asemenea, trebuie remarcat faptul ca unele componente ale solutiei antivirus au fost dezactivate, reducand in continuare calitatea protectiei.

„Mai multe detalii ale atacului indica faptul ca infractorii au analizat cu atentie infrastructura organizatiei vizate si si-au pregatit infrastructura proprie, dar si un set de instrumente, chiar pe baza informatiilor colectate in etapa de recunoastere. De exemplu, serverul gazda pentru malware-ul de pe care a fost descarcat ransomware-ul Cring a fost infiltrat prin adresa IP activata si a raspuns doar solicitarilor din mai multe tari europene. Scripturile atacatorilor au mascat activitatea malware-ului ca fiind o operatiune a solutiei antivirus ale organizatiei si au oprit procesele desfasurate de serverele bazei de date (Microsoft SQL Server) si de sistemele de rezerva (Veeam) care erau utilizate pe sistemele selectate pentru criptare. O analiza a activitatii atacatorilor demonstreaza ca, pe baza rezultatelor obtinute in etapa de recunoastere efectuata in reteaua organizatiei atacate, au ales sa cripteze acele servere despre care atacatorii credeau ca ar cauza cele mai mari daune operatiunilor companiei daca ar fi pierdute”, spune Vyacheslav Kopeytsev, expert in securitate, ICS CERT la Kaspersky.



Cititi mai multe despre ancheta pe site-ul Kaspersky ICS CERT.

Pentru a mentine sistemele protejate in fata acestei amenintari, expertii Kaspersky recomanda:
◦ Actualizati firmware-ul VPN Gateway cu cele mai recente versiuni.
◦ Actualizati solutiile de protectie la nivel endpoint si bazele lor de date, cu cele mai recente versiuni.
◦ Asigurati-va ca toate modulele de solutii de protectie la nivel endpoint sunt intotdeauna activate - asa cum recomanda furnizorul.
◦ Asigurati-va ca politica de director activ permite utilizatorilor sa se conecteze doar la acele sisteme care le sunt necesare pentru a functiona.
◦ Restrictionati accesul VPN intre facilitati si inchideti toate legaturile care nu sunt impuse de nevoile operationale.
◦ Configurati sistemul de backup pentru a stoca copii de rezerva pe un server dedicat.
◦ Pentru a spori in continuare rezistenta organizatiei la potentialele atacuri ransomware, luati in considerare implementarea solutiilor de securitate de tip Endpoint Detection and Response, atat in ​​retelele IT, cat si in cele OT.
◦ Adaptarea serviciilor de detectare si raspuns gestionate pentru a obtine acces imediat la cel mai inalt nivel de competente si cunostinte de la experti profesionisti in securitate poate fi, de asemenea, o idee buna.
◦ Folositi protectie dedicata pentru procesele industriale. Kaspersky Industrial CyberSecurity protejeaza nodurile industriale si permite monitorizarea retelei OT, astfel incat sa dezvaluie si sa opreasca activitatea rau intentionata.

Sondaj

Ce cadou ti-ar placea sa primesti?