Срочно. Хакеры используют непропатченные VPN для установки программ-вымогателей
Новые штаммы преимущественно нацелены на промышленные объекты и корпоративные сети компаний
VPN-устройства Fortinet подвергаются серии атак на промышленные предприятия в Европе с целью развёртывания новой разновидности программ-вымогателей под названием «Cring» в корпоративных сетях.
Хакеры используют непропатченные VPN для установки программ-вымогателей. Фото: Pixabay
По крайней мере, один из хакерских инцидентов привёл к временному отключению производственного сайта, говорится в отчёте компании Kaspersky, занимающейся кибербезопасностью.
Атаки произошли в первом квартале 2021 года, с января по март.
«Различные детали атаки указывают на то, что злоумышленники тщательно проанализировали инфраструктуру целевой организации и подготовили собственную инфраструктуру и набор инструментов на основе информации, собранной на этапе разведки», - сказал Вячеслав Копейцев, исследователь безопасности Kaspersky ICS CERT.
Раскрытие информации произошло через несколько дней после того, как Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) предупредили о субъектах повышенной постоянной угрозы (APT), которые активно сканируют устройства Fortinet SSL VPN, уязвимые, в том числе, для CVE-2018-13379.
«Злоумышленники APT могут использовать эти уязвимости или другие распространённые методы эксплуатации для получения начального доступа к многочисленным правительственным, коммерческим и технологическим услугам. Получение начального доступа подготовит участников APT к проведению будущих атак», — говорится в сообщении агентства.
CVE-2018-13379 уязвимость обхода пути на веб-портале FortiOS SSL VPN, которая позволяет злоумышленникам, не прошедшим проверку подлинности, читать произвольные системные файлы, включая файл сеанса, который содержит имена пользователей и пароли, хранящиеся в виде открытого текста.
Хотя исправления для уязвимости были выпущены в мае 2019 года , Fortinet заявила в ноябре прошлого года, что выявила «большое количество» VPN-устройств, которые не были исправлены, а также предупредила, что IP-адреса этих уязвимых устройств, подключённых к Интернету, продаются в темной сети.
«За некоторое время до основного этапа операции злоумышленники провели тестовые подключения к VPN-шлюзу, очевидно, для того, чтобы убедиться, что украденные учетные данные пользователя для VPN все еще действительны», — заявили исследователи Kaspersky.
Получив доступ, злоумышленники, как утверждается, использовали утилиту Mimikatz для перекачивания учётных данных пользователей Windows, которые ранее вошли в скомпрометированную систему, а затем использовали их для взлома учётной записи администратора домена, перемещения по сети и, в конечном итоге, удалённо разверните программу-вымогатель Cring на каждой машине с помощью платформы Cobalt Strike.
Cring — это новый штамм, который впервые обнаружили в январе 2021 года. Он шифрует определённые файлы на устройствах с помощью надёжных алгоритмов шифрования после удаления следов всех файлов резервных копий и завершения процессов Microsoft Office и Oracle Database. После успешного шифрования он сбрасывает записку с требованием выкупа в размере двух биткойнов.
Более того, злоумышленник старался скрыть свою активность, замаскировав вредоносные сценарии PowerShell под именем «kaspersky», чтобы избежать обнаружения, и отслеживания сервера, на котором размещена полезная нагрузка вымогателя. Отвечал хакер только на запросы, поступающие из европейских стран.
«Анализ деятельности злоумышленников показывает, что по результатам разведки, проведённой в сети атакуемой организации, они решили зашифровать те серверы, которые, по мнению злоумышленников, в случае потери нанесут наибольший ущерб деятельности предприятия», — сказал Копейцев.
Комментариев пока не было