La începutul anului 2021, infractorii cibernetici au efectuat o serie de atacuri folosind ransomware-ul Cring. Aceste atacuri au fost menţionate de Swisscom CSIRT, dar a rămas neclar modul în care ransomware-ul infectează reţeaua unei organizaţii. O anchetă de incident efectuată de experţii Kaspersky ICS CERT la una dintre companiile atacate a dezvăluit că atacurile ransomware-ului Cring exploatează o vulnerabilitate din serverele VPN.
. Victimele acestor atacuri includ companii industriale din ţările europene. În cel puţin un caz, un atac al ransomware-ului a dus la închiderea temporară a unui centru de producţie.
În 2019, a devenit cunoscută vulnerabilitatea CVE-2018-13379 în serverele Fortigate VPN. Problema a fost constatată şi reparată, însă nu toate dispozitivele au fost actualizate - iar din toamna anului 2020 au început să apară pe forumurile dark web oferte de achiziţie a unei liste de adrese IP ale dispozitivelor vulnerabile conectate. Cu aceasta, un atacator neautentificat se poate conecta la aparat prin internet şi poate accesa de la distanţă fişierul sesiunii, care conţine numele de utilizator şi parola, date stocate într-un text necriptat.
Analiza realizată de experţii Kaspersky ICS CERT a dezvăluit că, în seria atacurilor cu ransomware-ul Cring, atacatorul a exploatat vulnerabilitatea CVE-2018-13379 pentru a avea acces la reţeaua companiei.
Ancheta a arătat că, în urmă cu ceva timp, înainte de faza principală a operaţiunii, atacatorii se conectaseră de test la gateway-ul VPN, pentru a se asigura că acreditările de utilizare furate pentru VPN erau încă valabile.
În ziua atacului, după ce au primit acces la primul sistem din reţeaua companiei, atacatorii au folosit aplicaţia Mimikatz pentru acel system, pentru a fura datele de cont ale utilizatorilor Windows care fuseseră conectaţi anterior la sistemul compromis.
Atacatorii au avut noroc să compromită chiar contul de administrator principal, după care au început să se răspândească către alte sisteme din reţeaua organizaţiei, folosindu-se de faptul că administratorul avea drepturi de a accesa toate sistemele din reţea cu contul său.
După ce au făcut analizat situaţia şi au obţinut controlul sistemelor importante pentru operaţiunile companiei industriale, atacatorii au descărcat şi au lansat ransomware-ul Cring.
Potrivit experţilor, lipsa actualizărilor la soluţia de securitate utilizată pe sistemele atacate a jucat, de asemenea, un rol cheie, împiedicând sistemul să detecteze şi să blocheze ameninţarea. De asemenea, trebuie remarcat faptul că unele componente ale soluţiei antivirus au fost dezactivate, reducând în continuare calitatea protecţiei.
"Mai multe detalii ale atacului indică faptul că infractorii au analizat cu atenţie infrastructura organizaţiei vizate şi şi-au pregătit infrastructura proprie, dar şi un set de instrumente, chiar pe baza informaţiilor colectate în etapa de recunoaştere. De exemplu, serverul gazdă pentru malware-ul de pe care a fost descărcat ransomware-ul Cring a fost infiltrat prin adresa IP activată şi a răspuns doar solicitărilor din mai multe ţări europene. Scripturile atacatorilor au mascat activitatea malware-ului ca fiind o operaţiune a soluţiei antivirus ale organizaţiei şi au oprit procesele desfăşurate de serverele bazei de date (Microsoft SQL Server) şi de sistemele de rezervă (Veeam) care erau utilizate pe sistemele selectate pentru criptare. O analiză a activităţii atacatorilor demonstrează că, pe baza rezultatelor obţinute în etapa de recunoaştere efectuată în reţeaua organizaţiei atacate, au ales să cripteze acele servere despre care atacatorii credeau că ar cauza cele mai mari daune operaţiunilor companiei dacă ar fi pierdute", spune Vyacheslav Kopeytsev, expert în securitate, ICS CERT la Kaspersky.