Вымогательское ПО Cring поражает уязвимые VPN-устройства Fortinet

Дата: 08.04.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Вымогательское ПО Cring поражает уязвимые VPN-устройства Fortinet

Давно выявленная уязвимость в устройствах FortiGate SSL VPN от Fortinet используется киберпреступной группировкой Cring для взлома и шифрования корпоративных сетей промышленных компаний. Вымогательское ПО Cring было обнаружено в январе 2021 года командной CSIRT швейцарской компании Swisscom.

Операторы вымогательского ПО Cring используют специально настроенные образцы Mimikatz и Cobalt Strike для получения первоначального доступа и развертывания полезной нагрузки. С их помощью осуществляется загрузка легального диспетчера сертификатов Windows CertUtil для обхода средств защиты в атакуемой корпоративной сети.

Специалисты «Лаборатории Касперского» выявили, что злоумышленники из Cring используют доступные в интернете серверы FortiGate SSL VPN, которые не защищены от уязвимости CVE-2018-13379, что позволяет легко взломать корпоративную сеть компании.

«Жертвами атак, которые проводятся киберпреступниками на открытые серверы FortiGate SSL VPN при эксплуатации уязвимости CVE-2018-13379, являются промышленные компании Европы. На данный момент мы имеем информацию о том, что одна из таких атак стала причиной временного отключения информационной сети одной из организаций из-за того, что серверы, применяемые для управления производственными процессами, оказались зашифрованными», – отмечают в «Лаборатории Касперского».

За счет эксплуатации уязвимых версий устройств FortiGate SSL VPN операторы из хакерской группы Cring перемещаются по корпоративной сети жертв, крадут учетные данные пользователей Windows с применением Mimikatz, что позволяет им получить контроль над учетными записями администратора домена. После этого выполняется доставка полезных нагрузок киберпреступников на устройства в сетях жертв с применением платформы эмуляции угроз Cobalt Strike, которая разворачивается с использованием вредоносного сценария PowerShell.

Вымогательское ПО Cring поражает уязвимые VPN-устройства Fortinet

Вымогательское ПО Cring осуществляет шифрование только определенных файлов на скомпрометированных устройствах с помощью надежных алгоритмов шифрования (RSA-8192 + AES-128) после удаления файлов резервных копий и завершения процессов Microsoft Office и Oracle Database.

Затем вымогатели отправляют записки с требованиями выкупа, предупреждая жертв о шифровании корпоративной сети и необходимости срочного перечисления денег, потому что «ключ дешифровки вечно храниться не будет».

Вымогательское ПО Cring поражает уязвимые VPN-устройства Fortinet

В начале апреля 2021 года ФБР и CISA выпустили официальное предупреждение о том, что APT-группировки сканируют устройства FortiGate SSL VPN, которые имеют уязвимость CVE-2018-13379.

«Предыдущие киберпреступные кампании показывают нам, что любые серверы, которые будут скомпрометированы при проведении атак на FortiGate SSL VPN, с высокой долей вероятности будут использоваться в будущих кибератаках, вступая в качестве первоначальных векторов доступа для проникновения в сети коммерческих организаций или правительственных структур», – заявили в ФБР.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *