12.04.2021  Новости, Безопасность

Как сообщила «Лаборатория Касперского», в начале 2021 г. злоумышленники провели серию атак с использованием шифровальщика Cring. Эти атаки упоминались исследователями Swisscom CSIRT, однако было неизвестно, как именно шифровальщик попадает в сеть организаций. Расследование инцидента, проведенное экспертами Kaspersky ICS CERT на одном из атакованных предприятий, выявило, что в атаках Cring используется уязвимость в VPN-серверах. Среди жертв оказались промышленные предприятия в странах Европы. Проведенное экспертами Kaspersky ICS CERT расследование показало, что в атаках злоумышленники эксплуатировали уязвимость CVE-2018-13379 в VPN-серверах Fortigate для получения первоначального доступа к сети предприятия. Уязвимость позволяет злоумышленнику без аутентификации подключиться к устройству и удаленно получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде. Проблема была исправлена производителем в 2019 г., но до сих пор не все владельцы устройств их обновили. Осенью 2020 г. на форумах в дарквебе начали появляться предложения о покупке базы IP-адресов уязвимых устройств. В ходе расследования выяснилось, что за некоторое время до начала основной фазы атаки злоумышленники выполнили тестовые подключения к VPN-шлюзу, видимо, чтобы убедиться, что украденные в ходе атаки на VPN-сервер данные аутентификации остаются актуальными. В день атаки, получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz ... читать далее.