La inceputul anului 2021, infractorii cibernetici au efectuat o serie de atacuri folosind ransomware-ul Cring. Aceste atacuri au fost mentionate de Swisscom CSIRT, dar a ramas neclar modul in care ransomware-ul infecteaza reteaua unei organizatii. O ancheta de incident efectuata de expertii Kaspersky ICS CERT la una dintre companiile atacate a dezvaluit ca atacurile ransomware-ului Cring exploateaza o vulnerabilitate din serverele VPN. Victimele acestor atacuri includ companii industriale din tarile europene. In cel putin un caz, un atac al ransomware-ului a dus la inchiderea temporara a unui centru de productie.
In 2019, a devenit cunoscuta vulnerabilitatea CVE-2018-13379 in serverele Fortigate VPN. Problema a fost constatata si reparata, insa nu toate dispozitivele au fost actualizate – iar din toamna anului 2020 au inceput sa apara pe forumurile dark web oferte de achizitie a unei liste de adrese IP ale dispozitivelor vulnerabile conectate. Cu aceasta, un atacator neautentificat se poate conecta la aparat prin internet si poate accesa de la distanta fisierul sesiunii, care contine numele de utilizator si parola, date stocate intr-un text necriptat.
Analiza realizata de expertii Kaspersky ICS CERT a dezvaluit ca, in seria atacurilor cu ransomware-ul Cring, atacatorul a exploatat vulnerabilitatea CVE-2018-13379 pentru a avea acces la reteaua companiei.
Ancheta a aratat ca, in urma cu ceva timp, inainte de faza principala a operatiunii, atacatorii se conectasera de test la gateway-ul VPN, pentru a se asigura ca acreditarile de utilizare furate pentru VPN erau inca valabile.
In ziua atacului, dupa ce au primit acces la primul sistem din reteaua companiei, atacatorii au folosit aplicatia Mimikatz pentru acel system, pentru a fura datele de cont ale utilizatorilor Windows care fusesera conectati anterior la sistemul compromis.
Atacatorii au avut noroc sa compromita chiar contul de administrator principal, dupa care au inceput sa se raspandeasca catre alte sisteme din reteaua organizatiei, folosindu-se de faptul ca administratorul avea drepturi de a accesa toate sistemele din retea cu contul sau.
Dupa ce au facut analizat situatia si au obtinut controlul sistemelor importante pentru operatiunile companiei industriale, atacatorii au descarcat si au lansat ransomware-ul Cring.
Potrivit expertilor, lipsa actualizarilor la solutia de securitate utilizata pe sistemele atacate a jucat, de asemenea, un rol cheie, impiedicand sistemul sa detecteze si sa blocheze amenintarea. De asemenea, trebuie remarcat faptul ca unele componente ale solutiei antivirus au fost dezactivate, reducand in continuare calitatea protectiei.
„Mai multe detalii ale atacului indica faptul ca infractorii au analizat cu atentie infrastructura organizatiei vizate si si-au pregatit infrastructura proprie, dar si un set de instrumente, chiar pe baza informatiilor colectate in etapa de recunoastere. De exemplu, serverul gazda pentru malware-ul de pe care a fost descarcat ransomware-ul Cring a fost infiltrat prin adresa IP activata si a raspuns doar solicitarilor din mai multe tari europene. Scripturile atacatorilor au mascat activitatea malware-ului ca fiind o operatiune a solutiei antivirus ale organizatiei si au oprit procesele desfasurate de serverele bazei de date (Microsoft SQL Server) si de sistemele de rezerva (Veeam) care erau utilizate pe sistemele selectate pentru criptare. O analiza a activitatii atacatorilor demonstreaza ca, pe baza rezultatelor obtinute in etapa de recunoastere efectuata in reteaua organizatiei atacate, au ales sa cripteze acele servere despre care atacatorii credeau ca ar cauza cele mai mari daune operatiunilor companiei daca ar fi pierdute”,
spune Vyacheslav Kopeytsev, expert in securitate, ICS CERT la Kaspersky.