Početkom 2021. godine akteri pretnji su izveli niz napada korišćenjem ransomvera pod nazivom Cring. Kompanija Swisscom CSIRT je spomenula ove napade, ali je ostalo nejasno kako ransomver inficira mrežu organizacije. Istraga incidenta koju su proveli stručnjaci tima ICS CERT kompanije Kaspersky u jednoj od napadnutih kompanija otkrila je da napadi Cring ransomvera iskorišćavaju ranjivost VPN servera. Žrtve ovih napada bile su industrijske kompanije u evropskim zemljama. Barem u jednom slučaju, napad ransomverom rezultirao je privremenim zaustavljanjem proizvodnje.
Tokom 2019. godine, CVE-2018-13379 ranjivost na Fortigate VPN serverima je postala poznata. Problem je rešen i zakrpljen, međutim, nisu ažurirani svi uređaji – a ponude za kupovinu već gotove liste koja sadrži IP adrese ranjivih uređaja na internetu počele su da se pojavljuju na dark veb forumima u jesen 2020. Sa ovom listom, neovlašćeni napadač može da se poveže sa uređajem putem interneta i daljinski pristupi fajlu sesije, koji sadrži korisničko ime i lozinku koji se nalaze u jasno napisanom tekstu.
Odgovor na incident, kog su sproveli stručnjaci tima ICS CERT kompanije Kaspersky, otkrio je da je u nizu Cring ransomver napada akter pretnje iskoristio CVE-2018-13379 ranjivost kako bi dobio pristup mreži preduzeća.
Istraga je pokazala da su, u nekom trenutku pre glavne faze operacije, napadači testirali vezu sa VPN Gateway serverom, kako bi bili sigurni da su ukradeni korisnički podaci za logovanje na VPN mrežu još uvek ispravni.
Na dan napada, nakon što su dobili pristup prvom sistemu na mreži kompanije, napadači su za taj sistem koristili alat pod nazivom Mimikatz. Program je korišćen za krađu kredencijala naloga Windows korisnika koji su se prethodno ulogovali na kompromitovani sistem.Tada su napadači imali sreću da uspešno kompromituju nalog administratora domena, nakon čega su počeli širenje na ostale sisteme na mreži organizacije zloupotrebljavajući činjenicu da je administrator imao pravo pristupa svim sistemima na mreži preko samo jednog korisničkog naloga.
Nakon izviđanja i uspostavljanja kontrole nad sistemima bitnim za funkcionisanje operacija industrijskih preduzeća, napadači su preuzeli i pokrenuli Cring ransomver.
Prema nalazima stručnjaka, nedostatak blagovremenog ažuriranja baze podataka bezbednosnog rešenja koje se koristilo kod napadnutih sistema takođe je imalo ključnu ulogu, sprečavajući rešenje da otkrije i blokira pretnju. Takođe treba napomenuti da su neke komponente antivirusnog rešenja bile onemogućene, što je dodatno smanjilo kvalitet zaštite.
„Razni detalji napada ukazuju na to da su napadači pažljivo analizirali infrastrukturu ciljane organizacije i pripremili sopstvenu infrastrukturu i set alata na osnovu informacija prikupljenih u fazi istraživanja. Na primer, host server za malver sa kojeg je preuzet Cring ransomver imao je omogućenu infiltraciju putem IP adrese i odgovarao je samo na zahteve koji su dolazili iz nekoliko evropskih zemalja. Skripte napadača su prikrile aktivnost malvera kao operaciju antivirusnog rešenja preduzeća i prekinule procese koje su sprovodili serveri baza podataka (Microsoft SQL Server) i sistemi za pravljenje rezervnih kopija (Veeam) koji su korišćeni na sistemima odabranim za šifrovanje. Analiza aktivnosti napadača pokazuje da su, na osnovu rezultata istraživanja mreže napadnute organizacije, odlučili da šifruju one servere za koje su napadači verovali da će u slučaju gubitka naneti najveću štetu poslovanju preduzeća” komentariše Vyacheslav Kopeytsev, stručnjak za bezbednost u timu ICS CERT kompanije Kaspersky.
Da biste sačuvali bezbednost sistema od ove pretnje, stručnjaci kompanije Kaspersky preporučuju:
- Ažurirajte VPN Gateway firmver na najnovije verzije
- Ažurirajte rešenja za zaštitu krajnjih tačaka i njihove baze podataka na najnovije verzije
- Postarajte se da su svi moduli rešenja za zaštitu krajnjih tačaka uvek omogućeni – u skladu sa preporukom vendora
- Vodite računa da je aktivna politika direktorijuma takva da korisnicima dozvoljava logovanje samo na sisteme koji su im neophodni za obavljanje posla
- Ograničite VPN pristup između objekata i zatvorite sve portove koji nisu neophodni za obavljanje posla
- Konfigurišite sistem za pravljenje rezervnih kopija podataka kako biste skladištili kopije na tome namenjenom serveru