Gli autori delle minacce, da inizio 2021, stanno conducendo una serie di attacchi utilizzando il ransomware Cring. Questi attacchi sono stati menzionati in un tweet CSIRT di Swisscom ma non è chiaro come il ransomware infetti la rete di un’organizzazione. Un’indagine sugli incidenti condotta dagli esperti di Kaspersky ICS CERT presso una delle aziende attaccate ha rivelato che gli attacchi del ransomware Cring stanno sfruttando una vulnerabilità nei server VPN di Fortigate e prendendo di mira imprese industriali nei paesi europei.
In almeno in un caso, un attacco del ransomware ha provocato un arresto temporaneo del processo industriale a causa della crittografia dei server utilizzati per controllare il processo industriale.
Gli aggressori hanno sfruttato la vulnerabilità CVE-2018-13379 per ottenere l’accesso alla rete aziendale. La vulnerabilità è stata utilizzata per estrarre il file di sessione del gateway VPN. Giorni prima dell’inizio della fase di attacco principale, gli attaccanti hanno eseguito delle connessioni di prova al gateway VPN, apparentemente per verificare che la versione vulnerabile del software fosse utilizzata sul dispositivo.
Dopo aver ottenuto l’accesso al primo sistema sulla rete aziendale, hanno scaricato l’utilità Mimikatz per rubare le credenziali dell’account degli utenti Windows che avevano precedentemente effettuato l’accesso al sistema compromesso. Con l’aiuto dell’utilità Mimikatz, gli aggressori sono stati in grado di compromettere l’account dell’amministratore del dominio, dopodiché hanno iniziato a distribuire malware ad altri sistemi sulla rete dell’organizzazione utilizzando il framework Cobalt Strike il quale è stato caricato sui sistemi attaccati utilizzando PowerShell.
Dopo l’avvio, lo script dannoso di PowerShell ha decrittografato il payload: la backdoor Cobalt Strike Beacon, che forniva agli aggressori il controllo remoto del sistema infetto. Una volta ottenuto il controllo del sistema infetto, gli attaccanti hanno scaricato uno script cmd sulla macchina, progettato per scaricare e avviare il ransomware Cring.
Successivamente, il malware ha iniziato a crittografare i file utilizzando algoritmi di crittografia avanzati e, dopo aver completato la crittografia dei file, il malware ha rilasciato la relativa richiesta di riscatto.
Vari dettagli dell’attacco indicano che l’infrastruttura dell’organizzazione attaccata era stata analizzata attentamente dagli attaccanti e che gli stessi avevano preparato la propria infrastruttura e il proprio set di strumenti sulla base delle informazioni raccolte nella fase di ricognizione.
“Le cause principali dell’incidente includono l’uso di una versione del firmware obsoleta e vulnerabile sul server VPN Fortigate (la versione 6.0.2 era utilizzata al momento dell’attacco), che ha consentito agli aggressori di sfruttare la vulnerabilità CVE-2018-13379 e accedere alla rete aziendale.
Anche la mancanza di aggiornamenti tempestivi del database antivirus per la soluzione di sicurezza utilizzata sui sistemi attaccati ha svolto un ruolo chiave, impedendo alla soluzione di rilevare e bloccare la minaccia. Va inoltre notato che alcuni componenti della soluzione antivirus sono stati disabilitati, riducendo ulteriormente la qualità della protezione.
Altri fattori che hanno contribuito allo sviluppo dell’incidente includevano le impostazioni dei privilegi dell’account utente configurate nei criteri di dominio ei parametri di accesso RDP.
Non c’erano restrizioni all’accesso a diversi sistemi. In altre parole, tutti gli utenti potevano accedere a tutti i sistemi. Tali impostazioni aiutano gli aggressori a distribuire malware sulla rete aziendale molto più rapidamente, poiché compromettere con successo un solo account utente fornisce loro l’accesso a numerosi sistemi”, concludono gli esperti di Kaspersky ICS CERT.