Hackerii au exploatat o vulnerabilitate din serverele VPN cu ajutorul ransomware-ului Cring (experţi)

Infractorii cibernetici au lansat, la începutul acestui an, o serie de atacuri cu ransomware-ul Cring, prin care au reuşit să exploateze o vulnerabilitate din serverele VPN (Virtual Private Network – Reţea Virtuală Privată, n.r.), conform analizelor realizate de către experţii Kaspersky Industrial Control Systems Cyber Emergency Response Team (ICS CERT).

Investigaţia, ce a avut loc la una dintre companiile atacate, a dezvăluit faptul că victimele acestor atacuri includ companii industriale din ţările europene, iar în cel puţin un caz, un atac al ransomware-ului a dus la închiderea temporară a unui centru de producţie.

“În 2019, a devenit cunoscută vulnerabilitatea CVE-2018-13379 în serverele Fortigate VPN. Problema a fost constatată şi reparată, însă nu toate dispozitivele au fost actualizate – iar din toamna anului 2020 au început să apară pe forumurile dark web oferte de achiziţie a unei liste de adrese IP ale dispozitivelor vulnerabile conectate. Cu aceasta, un atacator neautentificat se poate conecta la aparat prin internet şi poate accesa de la distanţă fişierul sesiunii, care conţine numele de utilizator şi parola, date stocate într-un text necriptat. Analiza realizată de experţii Kaspersky ICS CERT a dezvăluit că, în seria atacurilor cu ransomware-ul Cring, atacatorul a exploatat vulnerabilitatea CVE-2018-13379 pentru a avea acces la reţeaua companiei. Ancheta a arătat că, în urmă cu ceva timp, înainte de faza principală a operaţiunii, atacatorii se conectaseră de test la gateway-ul VPN, pentru a se asigura că acreditările de utilizare furate pentru VPN erau încă valabile”, se arată într-un comunicat de presă al Kaspersky, transmis luni Agerpres.

Potrivit sursei citate, în ziua atacului, după ce au primit acces la primul sistem din reţeaua companiei, atacatorii au folosit aplicaţia Mimikatz pentru acel system, pentru a fura datele de cont ale utilizatorilor Windows care fuseseră conectaţi anterior la sistemul compromis.

În acest sens, atacatorii au compromis chiar contul de administrator principal, după care au început să se răspândească către alte sisteme din reţeaua organizaţiei, folosindu-se de faptul că administratorul avea drepturi de a accesa toate sistemele din reţea cu contul său.

“După ce au făcut analizat situaţia şi au obţinut controlul sistemelor importante pentru operaţiunile companiei industriale, atacatorii au descărcat şi au lansat ransomware-ul Cring”, susţin specialiştii.

De altfel, experţii Kaspersky precizează că lipsa actualizărilor la soluţia de securitate utilizată pe sistemele atacate a jucat un rol-cheie, împiedicând sistemul să detecteze şi să blocheze ameninţarea. De asemenea, unele componente ale soluţiei antivirus au fost dezactivate şi au redus calitatea protecţiei.

Ransomware este un tip de malware pe care infractorii cibernetici îl folosesc pentru a face rost de ban, după ce aceştia restricţionează accesul la datele utilizatorilor până la plata răscumpărării, prin utilizarea criptării sau blocarea acestora.

Kaspersky ICS CERT este un proiect global lansat de Kaspersky în anul 2016 pentru a coordona eforturile vânzătorilor de sisteme de automatizare, ale proprietarilor şi operatorilor de instalaţii industriale şi ale cercetătorilor în domeniul securităţii IT pentru a proteja companiile industriale de atacurile cibernetice.