В начале 2021 года злоумышленники провели серию атак с использованием шифровальщика Cring. Эти атаки упоминались исследователями Swisscom CSIRT, однако не было известно, как именно шифровальщик попадает в сеть организаций. Расследование инцидента, проведённое экспертами Kaspersky ICS CERT на одном из атакованных предприятий, выявило, что в атаках шифровальщика Cring используется уязвимость в VPN-серверах. Среди жертв оказались промышленные предприятия в странах Европы. И по крайней мере в одном из случаев атака шифровальщика привела к временной остановке производства на двух итальянских заводах международного промышленного холдинга с головной организацией в Германии.
Расследование инцидента, проведённое экспертами Kaspersky ICS CERT, показало, что в серии атак шифровальщиком Cring злоумышленники эксплуатировали уязвимость CVE-2018-13379 в VPN-серверах Fortigate для получения первоначального доступа к сети предприятия. Уязвимость позволяет злоумышленнику без аутентификации подключиться к устройству и удалённо получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде. Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в дарквебе начали появляться предложения о покупке базы IP-адресов уязвимых устройств.
В ходе расследования выяснилось: за некоторое время до начала основной фазы атаки злоумышленники выполнили тестовые подключения к VPN-шлюзу, видимо, чтобы убедиться, что украденные в ходе атаки на VPN-сервер данные аутентификации остаются актуальными. В день атаки, получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учётных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. С её помощью злоумышленникам посчастливилось сразу украсть учётные данные доменного администратора.
После непродолжительной разведки злоумышленники выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и сразу загрузили и запустили на них шифровальщик Cring.
Схема атаки
По данным экспертов, отсутствие своевременного обновления антивирусных баз и программных модулей для защитного решения, используемого на атакуемых системах, также сыграло ключевую роль, не позволив решению обнаружить и заблокировать угрозу. Некоторые компоненты антивирусного решения на момент атаки были отключены, и это тоже снизило качество защиты системы.
«Различные детали атаки указывают, что злоумышленники тщательно изучили инфраструктуру атакуемой организации, после чего подготовили свой инструментарий с учётом информации, собранной на этапе разведки. Например, скрипты злоумышленников маскировали активность вредоносного ПО под работу защитного решения, используемого на предприятии, и завершали процессы серверов баз данных (Microsoft SQL Server) и систем резервного копирования (Veeam), используемых на системах, которые были выбраны для шифрования. Анализ действий злоумышленников показывает, что в результате изучения сети атакуемой организации для шифрования были выбраны серверы, потеря доступа к которым, по мнению злоумышленников, могла нанести максимальный ущерб работе предприятия», — комментирует Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.
Более детальная информация о расследовании доступна на сайте Kaspersky ICS CERT.
Чтобы защитить системы от шифровальщика Cring, эксперты «Лаборатории Касперского» рекомендуют придерживаться следующих мер:
Материал подготовлен АО "Лаборатория Касперского"
С его помощью можно проверить, насколько ваш бизнес защищён от киберугроз и блокировок по 115-ФЗ
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
«Доктор Веб» сообщает о предстоящем обновлении песочницы Dr.Web vxCube. Изменения касаются обеих версий: облачной и локальной (on-premise).
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
«Базальт СПО» выпустила серверную операционную систему на Одиннадцатой платформе (p11 Salvia). Основные изменения коснулись установки и настройки. Впервые в одном образе доступны две редакции — «Альт Сервер» и «Альт Домен». В новом приложении «Альт Компоненты» автоматизирована установка инструментов для различных способов использования сервера.
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
Награды получили решения компании для защиты частных пользователей, малого бизнеса и крупных компаний
Ваши контактные данные не публикуются на сайте.