Уязвимость в Fortigate VPN позволила вымогателям нарушить работу двух предприятий

Уязвимость в Fortigate VPN позволила вымогателям нарушить работу двух предприятий

Операторы вымогательского ПО Cring зашифровали серверы, контролирующие производственные процессы.

Операторы программы-вымогателя Cring атаковали два производственных предприятия, принадлежащих европейскому производителю. Преступники загрузили новую версию вымогательского ПО Cring и зашифровали серверы, контролирующие производственные процессы.

Операторы вымогателя перехватили контроль над сетями предприятий, используя уязвимость ( CVE-2018-13379 ) в серверах Fortinet Fortigate VPN. Уязвимость обхода каталогов позволяет неавторизованным злоумышленникам получить файл сеанса, содержащий логин и пароль открытым текстом для VPN.

Операторы Cring провели разведку и использовали инструмент Mimikatz с целью хищения учетных данных администратора домена, хранящихся в памяти сервера. Затем злоумышленники использовали фреймворк Cobalt Strike для установки Cring. Для сокрытия атаки хакеры замаскировали установочные файлы под антивирусное ПО от «Лаборатории Касперского» и других поставщиков.

После установки программа-вымогатель шифрует данные с помощью алгоритма AES-256, а ключ — с помощью встроенного открытого ключа RSA-8192. В записке преступники требуют два биткойна в обмен на ключ доступа к данным.

В первом квартале нынешнего года операторы Cring атаковали неназванного производителя в Германии. Заражение распространилось на сервер с базами данных, необходимыми для производственной линии. В результате производственные процессы были временно остановлены на двух предприятиях производителя, расположенных в Италии. Компания отказалась платить выкуп вымогателям и восстановила большую часть зашифрованных данных.

«Злоумышленники тщательно проанализировали инфраструктуру атакуемой организации и подготовили собственную инфраструктуру и инструментарий на основе собранных разведданных. Преступники приняли решение зашифровать те серверы, потеря которых, по их мнению, нанесет наибольший ущерб деятельности предприятия», — пояснили специалисты.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь