Na pocz?tku 2021 r. cyberprzest?pcy przeprowadzili seri? ataków przy u?yciu oprogramowania wymuszaj?cego okup, o nazwie Cring. Poinformowa? o tym zespó? CSIRT szwajcarskiego dostawcy us?ug telekomunikacyjnych, Swisscom, jednak sposób, w jaki oprogramowanie ransomware infekowa?o sie? organizacji, pozostawa? nieznany. Badanie incydentu, który wyst?pi? w jednym z zaatakowanych przedsi?biorstw, przeprowadzone przez ekspertów z zespo?u ICS CERT firmy Kaspersky, wykaza?o, ?e ataki przy u?yciu oprogramowania Cring wykorzystuj? luk? w zabezpieczeniach serwerów VPN. W?ród ofiar znajduj? si? przedsi?biorstwa przemys?owe w pa?stwach europejskich. W co najmniej jednym przypadku atak z wykorzystaniem ransomware spowodowa? tymczasowe zamkni?cie zak?adu produkcyjnego.
W 2019 roku ujawniono luk? CVE-2018-13379 w serwerach VPN Fortigate. Mimo pojawienia si? ?aty nie wszystkie urz?dzenia zosta?y zaktualizowane – i od jesieni 2020 r. na forach darkwebu zacz??y pojawia? si? oferty zakupu gotowej listy zawieraj?cej adresy IP urz?dze? podatnych na ataki. Dzi?ki nim nieuwierzytelniony atakuj?cy mo?e po??czy? si? z urz?dzeniem za po?rednictwem internetu i uzyska? zdalny dost?p do pliku sesji, który zawiera nazw? u?ytkownika i has?o przechowywane w postaci niezaszyfrowanego tekstu.
Badanie incydentu przeprowadzone przez ekspertów z zespo?u ICS CERT firmy Kaspersky wykaza?o, ?e w serii ataków z u?yciem oprogramowania Cring ugrupowanie cyberprzest?pcze uzyska?o dost?p do sieci przedsi?biorstwa z wykorzystaniem luki CVE-2018-13379.
Dochodzenie wykaza?o, ?e na jaki? czas przed g?ówn? faz? operacji przest?pcy wykonali po??czenia testowe z bram? sieci VPN, najwyra?niej w celu upewnienia si?, ?e skradzione dane uwierzytelniaj?ce u?ytkowników do sieci VPN s? nadal wa?ne.
W dniu ataku, po uzyskaniu dost?pu do pierwszego systemu w sieci przedsi?biorstwa, atakuj?cy wykorzystali narz?dzie Mimikatz w celu kradzie?y po?wiadcze? kont u?ytkowników systemu Windows, którzy wcze?niej logowali si? do zhakowanego systemu. Przest?pcom uda?o si? nast?pnie w?ama? do konta administratora domeny, po czym zacz?li przenika? do innych systemów w sieci organizacji dzi?ki temu, ?e administrator posiada? prawa dost?pu do wszystkich systemów z jednego konta u?ytkownika.
Po przeprowadzeniu rekonesansu i przej?ciu kontroli nad systemami, które by?y istotne dla operacji przedsi?biorstwa przemys?owego, cyberprzest?pcy pobrali i uruchomili oprogramowanie wymuszaj?ce okup — Cring.
Wed?ug badaczy z firmy Kaspersky kluczow? rol? odegra?o równie? to, ?e nie uaktualniono na czas bazy danych rozwi?zania bezpiecze?stwa wykorzystywanego w atakowanych systemach, przez co ochrona nie by?a w stanie wykry? ani zablokowa? zagro?enia. Ponadto wy??czone zosta?y niektóre komponenty rozwi?zania antywirusowego, co jeszcze bardziej obni?y?o jako?? zabezpiecze?.
Szczegó?y dotycz?ce ataku sugeruj?, ?e atakuj?cy dok?adnie przeanalizowali infrastruktur? atakowanej organizacji i przygotowali w?asn? infrastruktur? oraz zestaw narz?dzi w oparciu o informacje zgromadzone na etapie rekonesansu. Na przyk?ad serwer, z którego zosta?o pobrane oprogramowanie Cring s?u??ce do wymuszania okupu, mia? w??czon? infiltracj? wed?ug adresu IP i odpowiada? jedynie na ??dania z kilku pa?stw europejskich. Cyberprzest?pcze skrypty zamaskowa?y aktywno?? szkodliwego oprogramowania jako operacj? rozwi?zania antywirusowego przedsi?biorstwa i zako?czy?y procesy wykonywane przez serwery bazodanowe (Microsoft SQL Server) oraz systemy kopii zapasowej (Veeam) wykorzystywane w systemach, które mia?y zosta? zaszyfrowane. Z analizy aktywno?ci przest?pców wynika, ?e po przeprowadzeniu rekonesansu w sieci atakowanej organizacji zdecydowali si? oni zaszyfrowa? te serwery, które w razie utraty w najwi?kszym stopniu zaszkodzi?yby operacjom przedsi?biorstwa – powiedzia? Wiaczes?aw Kopcjejew, ekspert z zespo?u ICS CERT w firmie Kaspersky.
