NewsSicurezza

Il ransomware Cring infetta organizzazioni industriali attraverso vulnerabilità dei server VPN

La ricerca degli esperti di Kaspersky

All’inizio del 2021, alcuni threat actor hanno condotto una serie di attacchi utilizzando il ransomware Cring. Questi attacchi erano stati citati dal CSIRT di Swisscom anche se ancora non era chiaro quale fosse il modo in cui il ransomware riuscisse ad infettare la rete delle organizzazioni. Una ricerca condotta dagli esperti di Kaspersky ICS CERT, ha rivelato che gli attacchi del ransomware Cring sfruttano una vulnerabilità nei server VPN. Le vittime di questi attacchi includono imprese industriali situate in alcuni Paesi europei. In uno di questi casi l’attacco ha provocato l’arresto temporaneo di un sito di produzione.

Una ricerca di Kaspersky fa luce sugli attacchi del ransomware Cring

Nel 2019, fu rilevata la vulnerabilità CVE-2018-13379 nei server VPN Fortigate. Il problema venne affrontato e risolto grazie alle patch, anche se non tutti i dispositivi furono aggiornati. A partire dall’autunno 2020, infatti, iniziarono ad apparire su alcuni forum presenti nel dark web le offerte per l’acquisto di un elenco già pronto contenente indirizzi IP di dispositivi vulnerabili connessi a internet. Con queste informazioni, un attaccante non autenticato poteva connettersi all’appliance tramite internet e accedere in remoto al file di sessione contenente nome utente e password memorizzati in chiaro, ovvero con un testo non crittografato.

L’attività di incident response condotta in una ricerca degli esperti di Kaspersky ICS CERT, ha rivelato che nella serie di attacchi con il ransomware Cring, per ottenere l’accesso alla rete aziendale, il threat actor ha sfruttato la vulnerabilità CVE-2018-13379.

Cosa emerge dalle indagini di Kaspersky

kaspersky ricerca ransomware Cring

Le indagini hanno mostrato che, qualche tempo prima della fase più importante dell’operazione, gli attaccanti avevano eseguito connessioni di prova al gateway VPN. Apparentemente al fine di assicurarsi che le credenziali utente rubate per la VPN fossero ancora valide.

Il giorno dell’attacco, dopo aver ottenuto l’accesso al primo sistema della rete aziendale, gli attaccanti hanno utilizzato l’utility Mimikatz. L’utility è stata sfruttata per rubare le credenziali degli account degli utenti Windows che avevano precedentemente effettuato l’accesso al sistema compromesso. Gli attaccanti sono poi riusciti a compromettere l’account dell’amministratore di dominio e a dare inizio al propagarsi dell’attacco su altri sistemi della rete aziendale sfruttando i diritti di accesso dell’amministratore che, con un singolo account utente, poteva entrare in tutti i sistemi della rete.

Dopo aver fatto una ricognizione e ottenuto il controllo di tutti i sistemi preziosi per le operazioni dell’organizzazione industriale, gli attaccanti hanno scaricato e lanciato il ransomware Cring.

Secondo gli esperti, un ruolo chiave nella riuscita dell’attacco lo ha giocato la mancanza di aggiornamenti tempestivi del database per la soluzione di sicurezza utilizzata sui sistemi attaccati. Impedendo quindi alla soluzione di rilevare e bloccare la minaccia. Va anche notato che alcuni componenti della soluzione antivirus sono stati disabilitati, riducendo ulteriormente la qualità della protezione.

È possibile avere maggior informazioni sull’indagine sul sito del Kaspersky ICS CERT.

La dichiarazione di Fortinet

In merito all’accaduto, la società Fortinet, ha affermato: La sicurezza dei nostri clienti è la nostra prima priorità. Ad esempio, CVE-2018-13379 è una vecchia vulnerabilità risolta a maggio 2019. Fortinet ha immediatamente emesso un avviso PSIRT e comunicato direttamente con i clienti e tramite post sul blog aziendale in più occasioni nell’agosto 2019, luglio 2020 e di nuovo nell’aprile 2021, raccomandando vivamente un aggiornamento. In seguito alla risoluzione, abbiamo costantemente comunicato con i clienti, anche ad aprile 2021. Per ulteriori informazioni, visitate il nostro blog e fate immediatamente riferimento all’advisory di maggio 2019. Se i clienti non l’hanno fatto, li esortiamo a implementare immediatamente l’aggiornamento”.

I consigli di Kaspersky

Per proteggersi da questa minaccia, gli esperti di Kaspersky raccomandano di:

  • Aggiornare il firmware del gateway VPN alle ultime versioni.
  • Aggiornare le soluzioni di protezione degli endpoint e i loro database alle ultime versioni.
  • Assicurarsi che tutti i moduli delle soluzioni di protezione degli endpoint siano sempre abilitati, come raccomandato dal fornitore.
  • Assicurarsi che la policy di active directory permetta agli utenti di accedere solo a quei sistemi che sono richiesti dalle loro esigenze operative.
  • Limitare l’accesso VPN tra le strutture e impedire l’accesso a tutte quelle porte che non sono richieste da esigenze operative.
  • Configurare il sistema di backup per memorizzare le copie di sicurezza su un server dedicato.
  • Migliorare ulteriormente la resistenza dell’organizzazione a potenziali attacchi ransomware considerando l’implementazione di soluzioni di sicurezza.
  • Adattare i servizi Managed Detection and Response per ottenere un accesso immediato al più alto livello di competenze e conoscenze da parte di esperti di sicurezza professionisti.
  • Utilizzare una protezione dedicata ai processi industriali. Kaspersky Industrial CyberSecurity protegge i nodi industriali e consente il monitoraggio delle reti OT per rilevare e bloccare le attività dannose.
Offerta
Kaspersky Total Security 2021 | 3 Dispositivo | 1 Anno | PC / Mac / Android  | Codice di attivazione via posta
  • Difende da virus, cryptolocker e altri ransomware
  • Protegge la privacy, le password, i file e le foto
  • Protegge i risparmi quando acquisti o navighi nella tua banca online
  • Protegge più dispositivi
  • Protegge i tuoi bambini…online e non solo grazie al Kaspersky Safe Kids

Sara Grigolin

Amo le serie tv, i libri, la musica e sono malata di tecnologia. Soprattutto se è dotata di led RGB.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button