Cring, oprogramowanie wymuszające okup, infekuje obiekty przemysłowe
Na początku 2021 r. cyberprzestępcy przeprowadzili serię ataków przy użyciu oprogramowania wymuszającego okup, o nazwie Cring. Poinformował o tym zespół CSIRT szwajcarskiego dostawcy usług telekomunikacyjnych, Swisscom, jednak sposób, w jaki oprogramowanie ransomware infekowało sieć organizacji, pozostawał nieznany. Badanie incydentu, który wystąpił w jednym z zaatakowanych przedsiębiorstw, przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky, wykazało, że ataki przy użyciu oprogramowania Cring wykorzystują lukę w zabezpieczeniach serwerów VPN. Wśród ofiar znajdują się przedsiębiorstwa przemysłowe w państwach europejskich. W co najmniej jednym przypadku atak z wykorzystaniem ransomware spowodował tymczasowe zamknięcie zakładu produkcyjnego.
W 2019 roku ujawniono lukę CVE-2018-13379 w serwerach VPN Fortigate. Mimo pojawienia się łaty nie wszystkie urządzenia zostały zaktualizowane – i od jesieni 2020 r. na forach darkwebu zaczęły pojawiać się oferty zakupu gotowej listy zawierającej adresy IP urządzeń podatnych na ataki. Dzięki nim nieuwierzytelniony atakujący może połączyć się z urządzeniem za pośrednictwem internetu i uzyskać zdalny dostęp do pliku sesji, który zawiera nazwę użytkownika i hasło przechowywane w postaci niezaszyfrowanego tekstu.
Badanie incydentu przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky wykazało, że w serii ataków z użyciem oprogramowania Cring ugrupowanie cyberprzestępcze uzyskało dostęp do sieci przedsiębiorstwa z wykorzystaniem luki CVE-2018-13379. Dochodzenie wykazało, że na jakiś czas przed główną fazą operacji przestępcy wykonali połączenia testowe z bramą sieci VPN, najwyraźniej w celu upewnienia się, że skradzione dane uwierzytelniające użytkowników do sieci VPN są nadal ważne.
W dniu ataku, po uzyskaniu dostępu do pierwszego systemu w sieci przedsiębiorstwa, atakujący wykorzystali narzędzie Mimikatz w celu kradzieży poświadczeń kont użytkowników systemu Windows, którzy wcześniej logowali się do zhakowanego systemu. Przestępcom udało się następnie włamać do konta administratora domeny, po czym zaczęli przenikać do innych systemów w sieci organizacji dzięki temu, że administrator posiadał prawa dostępu do wszystkich systemów z jednego konta użytkownika.
Po przeprowadzeniu rekonesansu i przejęciu kontroli nad systemami, które były istotne dla operacji przedsiębiorstwa przemysłowego, cyberprzestępcy pobrali i uruchomili oprogramowanie wymuszające okup – Cring.
Według badaczy z firmy Kaspersky kluczową rolę odegrało również to, że nie uaktualniono na czas bazy danych rozwiązania bezpieczeństwa wykorzystywanego w atakowanych systemach, przez co ochrona nie była w stanie wykryć ani zablokować zagrożenia. Ponadto wyłączone zostały niektóre komponenty rozwiązania antywirusowego, co jeszcze bardziej obniżyło jakość zabezpieczeń.
Szczegóły dotyczące ataku sugerują, że atakujący dokładnie przeanalizowali infrastrukturę atakowanej organizacji i przygotowali własną infrastrukturę oraz zestaw narzędzi w oparciu o informacje zgromadzone na etapie rekonesansu. Na przykład serwer, z którego zostało pobrane oprogramowanie Cring służące do wymuszania okupu, miał włączoną infiltrację według adresu IP i odpowiadał jedynie na żądania z kilku państw europejskich. Cyberprzestępcze skrypty zamaskowały aktywność szkodliwego oprogramowania jako operację rozwiązania antywirusowego przedsiębiorstwa i zakończyły procesy wykonywane przez serwery bazodanowe (Microsoft SQL Server) oraz systemy kopii zapasowej (Veeam) wykorzystywane w systemach, które miały zostać zaszyfrowane. Z analizy aktywności przestępców wynika, że po przeprowadzeniu rekonesansu w sieci atakowanej organizacji zdecydowali się oni zaszyfrować te serwery, które w razie utraty w największym stopniu zaszkodziłyby operacjom przedsiębiorstwa – powiedział Wiaczesław Kopcjejew, ekspert z zespołu ICS CERT w firmie Kaspersky.
Więcej informacji na temat dochodzenia dotyczącego omawianych ataków znajduje się na stronie https://r.kaspersky.pl/nslN6.
Porady bezpieczeństwa
W celu zabezpieczenia systemów przed omawianym zagrożeniem eksperci z firmy Kaspersky zalecają następujące działania:
- Zadbaj o uaktualnienie oprogramowania układowego (firmware) bramy sieci VPN do najnowszej wersji.
- Regularnie uaktualniaj rozwiązania do ochrony punktów końcowych oraz ich bazy danych do najnowszej wersji.
- Dopilnuj, aby wszystkie moduły rozwiązań do ochrony punktów końcowych były zawsze włączone – zgodnie z zaleceniami dostawcy.
- Dopilnuj, aby zasady dot. usługi Active Directory zezwalały użytkownikom na logowanie się wyłącznie do tych systemów, które są niezbędne do wykonywania pracy.
- Ogranicz dostęp do sieci VPN pomiędzy obiektami i zamknij wszystkie porty, które nie są niezbędne do wykonania operacji.
- Skonfiguruj system kopii zapasowej do archiwów danych na wyznaczonym serwerze.
- Aby zwiększyć odporność organizacji na potencjalne ataki ransomware, rozważ wdrożenie rozwiązań bezpieczeństwa typu Endpoint Detection and Response zarówno w sieci IT, jak i OT.
- Dobrym pomysłem będzie również dostosowanie usług Managed Detection and Response tak, aby uzyskiwały natychmiastowy dostęp do najbardziej zaawansowanych informacji i wiedzy ekspertów ds. bezpieczeństwa.
Stosuj specjalistyczną ochronę przeznaczoną dla procesów przemysłowych. Rozwiązanie Kaspersky Industrial CyberSecurity chroni węzły przemysłowe i umożliwia wykrywanie i powstrzymywanie szkodliwej aktywności poprzez monitorowanie sieci OT.