Los dispositivos VPN de Fortinet sin parches están siendo objeto de una serie de ataques contra empresas industriales en Europa para implementar una nueva cepa de ransomware llamada «Cring» dentro de las redes corporativas.
Al menos uno de los incidentes de piratería provocó el cierre temporal de un sitio de producción, dijo la firma de ciberseguridad Kaspersky en un informe publicado el miércoles, sin nombrar públicamente a la víctima.
Los ataques ocurrieron en el primer trimestre de 2021, entre enero y marzo.
«Varios detalles del ataque indican que los atacantes analizaron cuidadosamente la infraestructura de la organización objetivo y prepararon su propia infraestructura y conjunto de herramientas basándose en la información recopilada en la etapa de reconocimiento», dijo Vyacheslav Kopeytsev, investigador de seguridad de Kaspersky ICS CERT.
La divulgación se produce días después de que la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtieran sobre los actores de amenazas persistentes avanzadas (APT) que escanean activamente dispositivos VPN de Fortinet SSL vulnerables a CVE-2018-13379, entre otros.
«Los actores de APT pueden usar estas vulnerabilidades u otras técnicas de explotación comunes para obtener acceso inicial a múltiples servicios gubernamentales, comerciales y tecnológicos. El acceso inicial posiciona a los actores de APT para llevar a cabo ataques futuros», dijo la agencia.
CVE-2018-13379 se refiere a una vulnerabilidad de recorrido de ruta en el portal web FortiOS SSL VPN, que permite a atacantes no autenticados leer archivos de sistema arbitrarios, incluido el archivo de sesión, que contiene nombres de usuario y contraseñas almacenados en texto sin formato.
Aunque los parches para la vulnerabilidad se lanzaron en mayo de 2019 , Fortinet dijo en noviembre pasado que identificó una » gran cantidad » de dispositivos VPN que permanecían sin parche, al tiempo que advirtió que las direcciones IP de esos dispositivos vulnerables conectados a Internet se estaban vendiendo en la web oscura. .
Los ataques dirigidos a empresas europeas no fueron diferentes, según la respuesta a incidentes de Kaspersky, que descubrió que el despliegue del ransomware Cring implicaba la explotación de CVE-2018-13379 para obtener acceso a las redes objetivo.
«Algún tiempo antes de la fase principal de la operación, los atacantes realizaron conexiones de prueba a la puerta de enlace VPN, aparentemente para asegurarse de que las credenciales de usuario robadas para la VPN todavía fueran válidas», dijeron los investigadores de Kaspersky.
Al obtener acceso, se dice que los adversarios usaron la utilidad Mimikatz para desviar las credenciales de la cuenta de los usuarios de Windows que habían iniciado sesión previamente en el sistema comprometido, luego utilizarlas para ingresar a la cuenta del administrador del dominio, moverse lateralmente a través de la red y, finalmente, Implemente el ransomware Cring en cada máquina de forma remota utilizando el marco Cobalt Strike.
Cring , una cepa incipiente que fue observada por primera vez en enero de 2021 por el proveedor de telecomunicaciones Swisscom, cifra archivos específicos en los dispositivos utilizando algoritmos de cifrado fuertes después de eliminar los rastros de todos los archivos de respaldo y finalizar los procesos de Microsoft Office y Oracle Database. Después de un cifrado exitoso, suelta una nota de rescate exigiendo el pago de dos bitcoins.
Además, el actor de amenazas tuvo cuidado de ocultar su actividad al disfrazar los scripts de PowerShell maliciosos con el nombre «kaspersky» para evadir la detección y se aseguró de que el servidor que alojaba la carga útil del ransomware solo respondiera a las solicitudes provenientes de países europeos.
«Un análisis de la actividad de los atacantes demuestra que, basándose en los resultados del reconocimiento realizado en la red de la organización atacada, optaron por cifrar los servidores que los atacantes creían que causarían el mayor daño a las operaciones de la empresa si se perdían», dijo Kopeytsev.