GSMService.pl
  • nowości
  • artykuły
  • gry
Szukaj
Szukaj
Szukaj
Tu jesteś: GSMService.pl » Aktualności

Cring, oprogramowanie wymuszające okup, infekuje obiekty przemysłowe

Dodał: Monika Kowalczewska - opublikowano: 2021-04-08 14:23 - czytano: 171 razy - dodaj komentarz
Cring, oprogramowanie wymuszające okup, infekuje obiekty przemysłoweNa początku 2021 r. cyberprzestępcy przeprowadzili serię ataków przy użyciu oprogramowania wymuszającego okup, o nazwie Cring. Poinformował o tym zespół CSIRT szwajcarskiego dostawcy usług telekomunikacyjnych, Swisscom, jednak sposób, w jaki oprogramowanie ransomware infekowało sieć organizacji, pozostawał nieznany. Badanie incydentu, który wystąpił w jednym z zaatakowanych przedsiębiorstw, przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky, wykazało, że
REKLAMA
ataki przy użyciu oprogramowania Cring wykorzystują lukę w zabezpieczeniach serwerów VPN. Wśród ofiar znajdują się przedsiębiorstwa przemysłowe w państwach europejskich. W co najmniej jednym przypadku atak z wykorzystaniem ransomware spowodował tymczasowe zamknięcie zakładu produkcyjnego.

W 2019 roku ujawniono lukę CVE-2018-13379 w serwerach VPN Fortigate. Mimo pojawienia się łaty nie wszystkie urządzenia zostały zaktualizowane – i od jesieni 2020 r. na forach darkwebu zaczęły pojawiać się oferty zakupu gotowej listy zawierającej adresy IP urządzeń podatnych na ataki. Dzięki nim nieuwierzytelniony atakujący może połączyć się z urządzeniem za pośrednictwem internetu i uzyskać zdalny dostęp do pliku sesji, który zawiera nazwę użytkownika i hasło przechowywane w postaci niezaszyfrowanego tekstu.

Badanie incydentu przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky wykazało, że w serii ataków z użyciem oprogramowania Cring ugrupowanie cyberprzestępcze uzyskało dostęp do sieci przedsiębiorstwa z wykorzystaniem luki CVE-2018-13379. Dochodzenie wykazało, że na jakiś czas przed główną fazą operacji przestępcy wykonali połączenia testowe z bramą sieci VPN, najwyraźniej w celu upewnienia się, że skradzione dane uwierzytelniające użytkowników do sieci VPN są nadal ważne.

W dniu ataku, po uzyskaniu dostępu do pierwszego systemu w sieci przedsiębiorstwa, atakujący wykorzystali narzędzie Mimikatz w celu kradzieży poświadczeń kont użytkowników systemu Windows, którzy wcześniej logowali się do zhakowanego systemu. Przestępcom udało się następnie włamać do konta administratora domeny, po czym zaczęli przenikać do innych systemów w sieci organizacji dzięki temu, że administrator posiadał prawa dostępu do wszystkich systemów z jednego konta użytkownika.

Po przeprowadzeniu rekonesansu i przejęciu kontroli nad systemami, które były istotne dla operacji przedsiębiorstwa przemysłowego, cyberprzestępcy pobrali i uruchomili oprogramowanie wymuszające okup — Cring.

Według badaczy z firmy Kaspersky kluczową rolę odegrało również to, że nie uaktualniono na czas bazy danych rozwiązania bezpieczeństwa wykorzystywanego w atakowanych systemach, przez co ochrona nie była w stanie wykryć ani zablokować zagrożenia. Ponadto wyłączone zostały niektóre komponenty rozwiązania antywirusowego, co jeszcze bardziej obniżyło jakość zabezpieczeń.

- Szczegóły dotyczące ataku sugerują, że atakujący dokładnie przeanalizowali infrastrukturę atakowanej organizacji i przygotowali własną infrastrukturę oraz zestaw narzędzi w oparciu o informacje zgromadzone na etapie rekonesansu. Na przykład serwer, z którego zostało pobrane oprogramowanie Cring służące do wymuszania okupu, miał włączoną infiltrację według adresu IP i odpowiadał jedynie na żądania z kilku państw europejskich. Cyberprzestępcze skrypty zamaskowały aktywność szkodliwego oprogramowania jako operację rozwiązania antywirusowego przedsiębiorstwa i zakończyły procesy wykonywane przez serwery bazodanowe (Microsoft SQL Server) oraz systemy kopii zapasowej (Veeam) wykorzystywane w systemach, które miały zostać zaszyfrowane. Z analizy aktywności przestępców wynika, że po przeprowadzeniu rekonesansu w sieci atakowanej organizacji zdecydowali się oni zaszyfrować te serwery, które w razie utraty w największym stopniu zaszkodziłyby operacjom przedsiębiorstwa – powiedział Wiaczesław Kopcjejew, ekspert z zespołu ICS CERT w firmie Kaspersky.
.
Porady bezpieczeństwa
W celu zabezpieczenia systemów przed omawianym zagrożeniem eksperci z firmy Kaspersky zalecają następujące działania:
  • Zadbaj o uaktualnienie oprogramowania układowego (firmware) bramy sieci VPN do najnowszej wersji.
  • Regularnie uaktualniaj rozwiązania do ochrony punktów końcowych oraz ich bazy danych do najnowszej wersji.
  • Dopilnuj, aby wszystkie moduły rozwiązań do ochrony punktów końcowych były zawsze włączone – zgodnie z zaleceniami dostawcy.
  • Dopilnuj, aby zasady dot. usługi Active Directory zezwalały użytkownikom na logowanie się wyłącznie do tych systemów, które są niezbędne do wykonywania pracy.
  • Ogranicz dostęp do sieci VPN pomiędzy obiektami i zamknij wszystkie porty, które nie są niezbędne do wykonania operacji.
  • Skonfiguruj system kopii zapasowej do archiwów danych na wyznaczonym serwerze.
  • Aby zwiększyć odporność organizacji na potencjalne ataki ransomware, rozważ wdrożenie rozwiązań bezpieczeństwa typu Endpoint Detection and Response zarówno w sieci IT, jak i OT.
  • Dobrym pomysłem będzie również dostosowanie usług Managed Detection and Response tak, aby uzyskiwały natychmiastowy dostęp do najbardziej zaawansowanych informacji i wiedzy ekspertów ds. bezpieczeństwa.
Stosuj specjalistyczną ochronę przeznaczoną dla procesów przemysłowych. Rozwiązanie Kaspersky Industrial CyberSecurity chroni węzły przemysłowe i umożliwia wykrywanie i powstrzymywanie szkodliwej aktywności poprzez monitorowanie sieci OT.
Źródło: Kaspersky Lab
  • Dodaj do Google Bookmarks
  • Dodaj na Śledzika
  • Dodaj na Twitter
  • Dodaj do Wykop
  • Dodaj do Facebook
Aktualna ocena: 0.00
Dodaj komentarz:
dodaj komentarz
x
Trwa logowanie użytkownika...
login:
hasło:
zaloguj
Trwa logowanie użytkownika...
login:
hasło:
zaloguj
Wszelkie znaki i nazwy firmowe zastrzeżone są przez ich wlaścicieli i zostały użyte wyłącznie w celach informacyjnych.
GSMService.pl
content: 
  • Twitter
  • Facebook
odwiedź nas na: