Давно выявленная уязвимость в устройствах FortiGate SSL VPN от Fortinet используется киберпреступной группировкой Cring для взлома и шифрования корпоративных сетей промышленных компаний. Вымогательское ПО Cring было обнаружено в январе 2021 года командной CSIRT швейцарской компании Swisscom.
Операторы вымогательского ПО Cring используют специально настроенные образцы Mimikatz и Cobalt Strike для получения первоначального доступа и развертывания полезной нагрузки. С их помощью осуществляется загрузка легального диспетчера сертификатов Windows CertUtil для обхода средств защиты в атакуемой корпоративной сети.
Специалисты «Лаборатории Касперского» выявили, что злоумышленники из Cring используют доступные в интернете серверы FortiGate SSL VPN, которые не защищены от уязвимости CVE-2018-13379, что позволяет легко взломать корпоративную сеть компании.
«Жертвами атак, которые проводятся киберпреступниками на открытые серверы FortiGate SSL VPN при эксплуатации уязвимости CVE-2018-13379, являются промышленные компании Европы. На данный момент мы имеем информацию о том, что одна из таких атак стала причиной временного отключения информационной сети одной из организаций из-за того, что серверы, применяемые для управления производственными процессами, оказались зашифрованными », – отмечают в «Лаборатории Касперского».
За счет эксплуатации уязвимых версий устройств FortiGate SSL VPN операторы из хакерской группы Cring перемещаются по корпоративной сети жертв, крадут учетные данные пользователей Windows с применением Mimikatz, что позволяет им получить контроль над учетными записями администратора домена. После этого выполняется доставка полезных нагрузок киберпреступников на устройства в сетях жертв с применением платформы эмуляции угроз Cobalt Strike, которая разворачивается с использованием вредоносного сценария PowerShell.
Вымогательское ПО Cring осуществляет шифрование только определенных файлов на скомпрометированных устройствах с помощью надежных алгоритмов шифрования (RSA-8192 + AES-128) после удаления файлов резервных копий и завершения процессов Microsoft Office и Oracle Database.
Затем вымогатели отправляют записки с требованиями выкупа, предупреждая жертв о шифровании корпоративной сети и необходимости срочного перечисления денег, потому что «ключ дешифровки вечно храниться не будет».
В начале апреля 2021 года ФБР и CISA выпустили официальное предупреждение о том, что APT-группировки сканируют устройства FortiGate SSL VPN, которые имеют уязвимость CVE-2018-13379.
«Предыдущие киберпреступные кампании показывают нам, что любые серверы, которые будут скомпрометированы при проведении атак на FortiGate SSL VPN, с высокой долей вероятности будут использоваться в будущих кибератаках, вступая в качестве первоначальных векторов доступа для проникновения в сети коммерческих организаций или правительственных структур», – заявили в ФБР.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
