czwartek, 28 marca, 2024

Nasze serwisy:

Więcej

    Cring, oprogramowanie wymuszające okup, infekuje obiekty przemysłowe

    Zobacz również

    Na początku 2021 r. cyberprzestępcy przeprowadzili serię ataków przy użyciu oprogramowania wymuszającego okup, o nazwie Cring. Poinformował o tym zespół CSIRT szwajcarskiego dostawcy usług telekomunikacyjnych, Swisscom, jednak sposób, w jaki oprogramowanie ransomware infekowało sieć organizacji, pozostawał nieznany. Badanie incydentu, który wystąpił w jednym z zaatakowanych przedsiębiorstw, przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky, wykazało, że

    - Reklama -

    ataki przy użyciu oprogramowania Cring wykorzystują lukę w zabezpieczeniach serwerów VPN. Wśród ofiar znajdują się przedsiębiorstwa przemysłowe w państwach europejskich. W co najmniej jednym przypadku atak z wykorzystaniem ransomware spowodował tymczasowe zamknięcie zakładu produkcyjnego.

    W 2019 roku ujawniono lukę CVE-2018-13379 w serwerach VPN Fortigate. Mimo pojawienia się łaty nie wszystkie urządzenia zostały zaktualizowane – i od jesieni 2020 r. na forach darkwebu zaczęły pojawiać się oferty zakupu gotowej listy zawierającej adresy IP urządzeń podatnych na ataki. Dzięki nim nieuwierzytelniony atakujący może połączyć się z urządzeniem za pośrednictwem internetu i uzyskać zdalny dostęp do pliku sesji, który zawiera nazwę użytkownika i hasło przechowywane w postaci niezaszyfrowanego tekstu.

    Badanie incydentu przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky wykazało, że w serii ataków z użyciem oprogramowania Cring ugrupowanie cyberprzestępcze uzyskało dostęp do sieci przedsiębiorstwa z wykorzystaniem luki CVE-2018-13379. Dochodzenie wykazało, że na jakiś czas przed główną fazą operacji przestępcy wykonali połączenia testowe z bramą sieci VPN, najwyraźniej w celu upewnienia się, że skradzione dane uwierzytelniające użytkowników do sieci VPN są nadal ważne.

    W dniu ataku, po uzyskaniu dostępu do pierwszego systemu w sieci przedsiębiorstwa, atakujący wykorzystali narzędzie Mimikatz w celu kradzieży poświadczeń kont użytkowników systemu Windows, którzy wcześniej logowali się do zhakowanego systemu. Przestępcom udało się następnie włamać do konta administratora domeny, po czym zaczęli przenikać do innych systemów w sieci organizacji dzięki temu, że administrator posiadał prawa dostępu do wszystkich systemów z jednego konta użytkownika.

    Po przeprowadzeniu rekonesansu i przejęciu kontroli nad systemami, które były istotne dla operacji przedsiębiorstwa przemysłowego, cyberprzestępcy pobrali i uruchomili oprogramowanie wymuszające okup — Cring.

    Według badaczy z firmy Kaspersky kluczową rolę odegrało również to, że nie uaktualniono na czas bazy danych rozwiązania bezpieczeństwa wykorzystywanego w atakowanych systemach, przez co ochrona nie była w stanie wykryć ani zablokować zagrożenia. Ponadto wyłączone zostały niektóre komponenty rozwiązania antywirusowego, co jeszcze bardziej obniżyło jakość zabezpieczeń.

    – Szczegóły dotyczące ataku sugerują, że atakujący dokładnie przeanalizowali infrastrukturę atakowanej organizacji i przygotowali własną infrastrukturę oraz zestaw narzędzi w oparciu o informacje zgromadzone na etapie rekonesansu. Na przykład serwer, z którego zostało pobrane oprogramowanie Cring służące do wymuszania okupu, miał włączoną infiltrację według adresu IP i odpowiadał jedynie na żądania z kilku państw europejskich. Cyberprzestępcze skrypty zamaskowały aktywność szkodliwego oprogramowania jako operację rozwiązania antywirusowego przedsiębiorstwa i zakończyły procesy wykonywane przez serwery bazodanowe (Microsoft SQL Server) oraz systemy kopii zapasowej (Veeam) wykorzystywane w systemach, które miały zostać zaszyfrowane. Z analizy aktywności przestępców wynika, że po przeprowadzeniu rekonesansu w sieci atakowanej organizacji zdecydowali się oni zaszyfrować te serwery, które w razie utraty w największym stopniu zaszkodziłyby operacjom przedsiębiorstwa – powiedział Wiaczesław Kopcjejew, ekspert z zespołu ICS CERT w firmie Kaspersky.
    .
    Porady bezpieczeństwa
    W celu zabezpieczenia systemów przed omawianym zagrożeniem eksperci z firmy Kaspersky zalecają następujące działania:

    • Zadbaj o uaktualnienie oprogramowania układowego (firmware) bramy sieci VPN do najnowszej wersji.
    • Regularnie uaktualniaj rozwiązania do ochrony punktów końcowych oraz ich bazy danych do najnowszej wersji.
    • Dopilnuj, aby wszystkie moduły rozwiązań do ochrony punktów końcowych były zawsze włączone – zgodnie z zaleceniami dostawcy.
    • Dopilnuj, aby zasady dot. usługi Active Directory zezwalały użytkownikom na logowanie się wyłącznie do tych systemów, które są niezbędne do wykonywania pracy.
    • Ogranicz dostęp do sieci VPN pomiędzy obiektami i zamknij wszystkie porty, które nie są niezbędne do wykonania operacji.
    • Skonfiguruj system kopii zapasowej do archiwów danych na wyznaczonym serwerze.
    • Aby zwiększyć odporność organizacji na potencjalne ataki ransomware, rozważ wdrożenie rozwiązań bezpieczeństwa typu Endpoint Detection and Response zarówno w sieci IT, jak i OT.
    • Dobrym pomysłem będzie również dostosowanie usług Managed Detection and Response tak, aby uzyskiwały natychmiastowy dostęp do najbardziej zaawansowanych informacji i wiedzy ekspertów ds. bezpieczeństwa.

    Stosuj specjalistyczną ochronę przeznaczoną dla procesów przemysłowych. Rozwiązanie Kaspersky Industrial CyberSecurity chroni węzły przemysłowe i umożliwia wykrywanie i powstrzymywanie szkodliwej aktywności poprzez monitorowanie sieci OT.

    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    Łatwiej i szybciej dzięki sztucznej inteligencji. Już za rok 70proc. aplikacji będzie powstawać z użyciem no-code

    Do 2025 roku 70 proc. nowych aplikacji tworzonych przez przedsiębiorstwa będzie powstawać w metodologii low-code lub no-code – wynika...