Το νέο ransomware στοχεύει unpatched Fortinet VPN!
Χάκερς
εκμεταλλεύονται την
ευπάθεια
CVE-2018-13379
σε VPN της
Fortinet
για να αναπτύξουν το νεοανακαλυφθέν
Cring
ransomware
(γνωστό και ως Crypt3r, Vjiszy1lo, Ghost, Phantom)
, σε οργανισμούς του βιομηχανικού τομέα. Η CVE-2018-13379 είναι μια path traversal
ευπάθεια
στο FortiOS SSL VPN web portal, η οποία θα μπορούσε να εκμεταλλευτεί από έναν μη εξουσιοδοτημένο εισβολέα για τη
λήψη
αρχείων συστήματος FortiOS μέσω crafted HTTP resource requests.
Το Cring
ransomware
εμφανίστηκε στο τοπίο απειλών τον Ιανουάριο, ενώ αναφέρθηκε για πρώτη φορά από τον
Amigo_A
και την ομάδα
CSIRT
της
Swisscom
. Το εν λόγω
ransomware
κρυπτογραφεί
δεδομένα
από τα
θύματα
με AES-256 + RSA-8192 και στη συνέχεια απαιτεί λύτρα
2 BTC
, για την επιστροφή των αρχείων.
Διαβάστε επίσης
: Περίπου 80.000 Exchange
servers
περιέχουν εκμεταλλεύσιμες
ευπάθειες
!
ransomware
στοχεύει unpatched
Fortinet
VPN!
Η
Kaspersky
ανέφερε σε σχετική της ανάρτηση τα ακόλουθα:
«Μια έρευνα που πραγματοποιήθηκε από εμπειρογνώμονες της
Kaspersky
ICS CERT σε μία από τις επιχειρήσεις που υπέστησαν
επίθεση
, αποκάλυψε ότι οι
επιθέσεις
του Cring
ransomware
εκμεταλλεύονται μια
ευπάθεια
στους VPN
servers
της Fortigate. Στα
θύματα
αυτών των επιθέσεων περιλαμβάνονται βιομηχανικές επιχειρήσεις σε ευρωπαϊκές χώρες. Τουλάχιστον σε μία περίπτωση,
επίθεση
του
ransomware
είχε ως αποτέλεσμα τον προσωρινό τερματισμό της βιομηχανικής διαδικασίας, λόγω του γεγονότος ότι είχαν κρυπτογραφηθεί οι
servers
που χρησιμοποιούνταν για τον έλεγχο της βιομηχανικής διαδικασίας.»
Αφότου απέκτησαν πρόσβαση σε ένα σύστημα εντός του στοχευόμενου δικτύου, οι επιτιθέμενοι κατέβασαν το βοηθητικό
πρόγραμμα
Mimikatz
για να κλέψουν τα
credentials
των χρηστών
Windows
που συνδέονταν στο παραβιασμένο σύστημα.
Με την
παραβίαση
του domain administrator account, οι κακόβουλοι παράγοντες θα μπορούσαν να διανείμουν το
malware
και σε άλλα
συστήματα
που βρίσκονται εντός του στοχοποιημένου δικτύου. Οι επιτιθέμενοι χρησιμοποίησαν επίσης το
Cobalt Strike post-exploitation framework
για να αναπτύξουν το
ransomware
.
ransomware
στοχεύει unpatched
Fortinet
VPN!
Δείτε ακόμη
: Φορητό VPN προστατεύει τα διαδικτυακά σας
δεδομένα
Σε μια περίπτωση, η «μόλυνση» των
servers
– που χρησιμοποιούνταν για τον έλεγχο της βιομηχανικής διαδικασίας – με
ransomware
, προκάλεσε τον προσωρινό τερματισμό της διαδικασίας.
Σύμφωνα με τη ρωσική
εταιρεία
κυβερνοασφάλειας, οι κύριες αιτίες του συμβάντος ήταν η
χρήση
μιας παλιάς και ευάλωτης έκδοσης
firmware
στον Fortigate VPN server (τη στιγμή της επίθεσης χρησιμοποιούταν η
έκδοση 6.0.2
), η οποία επέτρεψε στους εισβολείς να εκμεταλλευτούν την
ευπάθεια
CVE-2018-13379 και να αποκτήσουν πρόσβαση στο δίκτυο της εταιρείας.
Επιπλέον, η
Kaspersky
υπογράμμισε τα εξής:
«Η έλλειψη έγκαιρων antivirus database
updates
στη λύση
ασφαλείας
που χρησιμοποιείται σε
συστήματα
που δέχονται
επιθέσεις
, διαδραμάτισε επίσης σημαντικό ρόλο, εμποδίζοντας τη λύση να εντοπίσει και να μπλοκάρει την
απειλή
. Πρέπει επίσης να σημειωθεί ότι ορισμένα components της antivirus λύσης απενεργοποιήθηκαν, μειώνοντας έτσι περαιτέρω την ποιότητα της προστασίας. Άλλοι παράγοντες που συνέβαλαν στο συμβάν ήταν οι ρυθμίσεις δικαιωμάτων λογαριασμού χρήστη που έχουν διαμορφωθεί στις
πολιτικές
domain και οι παράμετροι της πρόσβασης RDP.»
ransomware
στοχεύει unpatched
Fortinet
VPN!
Στην
έκθεσή
της, η
Kaspersky
μοιράστηκε και τους δείκτες συμβιβασμού.
Πρόταση
: FBI/CISA: Προσοχή! APT
χάκερς
στοχεύουν
Fortinet
FortiOS
servers
Στις
αρχές
Απριλίου, το FBI και η CISA εξέδωσαν κοινή
προειδοποίηση
για
επιθέσεις
που πραγματοποιούνται από APT
ομάδες
με στόχο
Fortinet
FortiOS
servers
, με τη
χρήση
πολλαπλών exploits.
Οι απειλητικοί παράγοντες εκμεταλλεύονται ενεργά στο
Fortinet
FortiOS τις
ευπάθειες
CVE-2018-13379, CVE-2020-12812
και
CVE-2019-5591
.
Πηγή πληροφοριών: securityaffairs.co
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.