«Лаборатория Касперского»: шифровальщик Cring атакует промышленные объекты через уязвимость в VPN-серверах

«Лаборатория Касперского»: шифровальщик Cring атакует промышленные объекты через уязвимость в VPN-серверах

В начале 2021 года злоумышленники провели серию атак с использованием шифровальщика Cring. Эти атаки упоминались исследователями Swisscom CSIRT, однако не было известно, как именно шифровальщик попадает в сеть организаций. Расследование инцидента, проведённое экспертами Kaspersky ICS CERT на одном из атакованных предприятий, выявило, что в атаках шифровальщика Cring используется уязвимость в VPN-серверах. Среди жертв оказались промышленные предприятия в странах Европы. И по крайней мере в одном из случаев атака шифровальщика привела к временной остановке производства на двух итальянских заводах международного промышленного холдинга с головной организацией в Германии.

Расследование инцидента, проведённое экспертами Kaspersky ICS CERT, показало, что в серии атак шифровальщиком Cring злоумышленники эксплуатировали уязвимость CVE-2018-13379 в VPN-серверах Fortigate для получения первоначального доступа к сети предприятия. Уязвимость позволяет злоумышленнику без аутентификации подключиться к устройству и удалённо получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде. Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в дарквебе начали появляться предложения о покупке базы IP-адресов уязвимых устройств.

В ходе расследования выяснилось: за некоторое время до начала основной фазы атаки злоумышленники выполнили тестовые подключения к VPN-шлюзу, видимо, чтобы убедиться, что украденные в ходе атаки на VPN-сервер данные аутентификации остаются актуальными. В день атаки, получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учётных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. С её помощью злоумышленникам посчастливилось сразу украсть учётные данные доменного администратора.

После непродолжительной разведки злоумышленники выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и сразу загрузили и запустили на них шифровальщик Cring.

Схема атаки

По данным экспертов, отсутствие своевременного обновления антивирусных баз и программных модулей для защитного решения, используемого на атакуемых системах, также сыграло ключевую роль, не позволив решению обнаружить и заблокировать угрозу. Некоторые компоненты антивирусного решения на момент атаки были отключены, и это тоже снизило качество защиты системы.

«Различные детали атаки указывают, что злоумышленники тщательно изучили инфраструктуру атакуемой организации, после чего подготовили свой инструментарий с учётом информации, собранной на этапе разведки. Например, скрипты злоумышленников маскировали активность вредоносного ПО под работу защитного решения, используемого на предприятии, и завершали процессы серверов баз данных (Microsoft SQL Server) и систем резервного копирования (Veeam), используемых на системах, которые были выбраны для шифрования. Анализ действий злоумышленников показывает, что в результате изучения сети атакуемой организации для шифрования были выбраны серверы, потеря доступа к которым, по мнению злоумышленников, могла нанести максимальный ущерб работе предприятия», — комментирует Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

Более детальная информация о расследовании доступна на сайте Kaspersky ICS CERT.

Чтобы защитить системы от шифровальщика Cring, эксперты «Лаборатории Касперского» рекомендуют придерживаться следующих мер:

· постоянно обновлять прошивку VPN-шлюза до последних версий;

· постоянно обновлять решения для защиты конечных точек и их базы данных до последних версий;

· убедиться, что все модули решений для защиты конечных точек всегда включены в соответствии с рекомендациями производителя;

· убедиться, что политики Active Directory позволяют пользователям входить только в те системы, доступ к которым обусловлен рабочей необходимостью;

· ограничить VPN-доступ между объектами и закрыть все порты, работа которых не требуется для выполнения технологического процесса;

· настроить систему резервного копирования для хранения резервных копий на выделенном сервере;

· чтобы ещё больше повысить устойчивость организации к потенциальным атакам шифровальщиков, рассмотреть возможность внедрения защитных решений класса Endpoint Detection and Response как в корпоративной, так и в промышленной сети;

· адаптировать сервисы класса Managed Detection and Response для получения оперативного доступа к высококлассным знаниям и наработкам профессиональных экспертов по кибербезопасности;

· использовать специальную защиту для промышленных процессов. Kaspersky Industrial CyberSecurity защищает конечные устройства и позволяет сетевому мониторингу промышленной сети выявлять и пресекать вредоносную активность.

Скончался известный азербайджанский художник Эльдар Зейналов
Скончался известный азербайджанский художник Эльдар Зейналов
Рамазан – байрам ахшамы: за праздничным столом и размер фитры
Рамазан – байрам ахшамы: за праздничным столом и размер фитры
Воспитанники Айбениз Гашимовой признаны лучшими в American Edition - организаторы из США, Великобритании, Италии (ФОТО)
Воспитанники Айбениз Гашимовой признаны лучшими в American Edition - организаторы из США, Великобритании, Италии (ФОТО)
Loading Bars
Лента новостей
Двукратный обладатель "Оскара" Кристофер Хэмптон принял участие в открытии INTERACT Online в Азербайджане
Air France приостановила рейсы в Тель-Авив на фоне обострения между Израилем и Палестиной
Alibaba получил чистый убыток в IV финквартале из-за рекордного штрафа
ВВС Израиля заявили, что сбили летевший со стороны сектора Газа дрон
Президенты Кыргызстана и Турции по телефону обсудили вопросы сотрудничества
В работе Twitter произошел сбой
Видеокадры выступления общенационального лидера Гейдара Алиева, посвященного Шуше, растрогали Президента Ильхама Алиева (ВИДЕО)
Президент Ильхам Алиев на Джыдыр дюзю еще раз заявил: "Карабах - это Азербайджан!" (ВИДЕО)
Из Германии в Шушу. Фуад Ибрагимов нашел родной дом и показал уникальные фото: Это настоящее чудо! (ФОТО/ВИДЕО)
Глава МИД Ирана начал европейское турне
Счастлив быть одним из участников фестиваля "Харыбюльбюль" – народный артист Тейюб Асланов (ВИДЕО)
Грузия может открыть сухопутные границы через несколько недель
Мальдивы зарегистрировали "Спутник V"
В Израиле заявили, что избежали многочисленных жертв благодаря ПВО "Железный купол"
ВОЗ заявила, что богатейшие страны располагают 83% мирового объема вакцин от COVID-19
Минэнерго США сообщило о восстановлении работы Colonial Pipeline
В Азербайджане семьям шехидов и инвалидам войны предоставлено 50 квартир (ФОТО)
Азербайджан сократил импорт из Италии более чем на треть
Фонд YAŞAT откроет счета в банке на имена трех новорожденных детей шехидов (ФОТО)
Азербайджан импортировал из Турции химпродукцию почти на $28 млн
Экономика Грузии выросла в марте 2021 года
Исполнилась наша самая сокровенная мечта - вновь провести фестиваль "Харыбюльбюль" в Шуше - народный артист
Казахстан импортировал из Турции зерновые и бобовые культуры почти на $11 млн
Туркменский госконцерн объявил тендер на закупку химпродукции
Регион Туркменистана объявил тендер на выбор строительных подрядчиков
Первый вице-президент Мехрибан Алиева поделилась на своей официальной странице в Instagram кадрами гала-концерта фестиваля «Харыбюльбюль» в Шуше (ВИДЕО)
SOCAR будет курировать поставки нефтепродуктов «Роснефти» в Украину - источники
В Туркменистане ЛЭП в направлении Афганистана готова к проведению пусконаладочных работ
Грузия импортировала из Турции зерновые и бобовые культуры почти на $15 млн
Проходящий в Шуше фестиваль «Харыбюльбюль» - торжество великой исторической победы - депутат
В Туркменистане намерены повысить темпы добычи нефти
AZAL и IATA обсудили возможность применения в Азербайджане приложения IATA Travel Pass
Порты Турции перевалили более 3 млн тонн грузов из Украины
Президент Казахстана Касым-Жомарт Токаев позвонил Президенту Ильхаму Алиеву
Президент Ильхам Алиев и Первая леди Мехрибан Алиева присутствовали на гала-концерте фестиваля "Харыбюльбюль" (ФОТО/ВИДЕО)
Авиакомпания British Airways отменила рейсы в Израиль
Фестиваль "Харыбюльбюль" в Шуше организован на высочайшем уровне - Теймур Геокчаев
Президент Ильхам Алиев побывал в мечети Юхары Гевхарага в Шуше
В России за сутки выявили 8 380 новых случаев заражения коронавирусом
Германия импортировала из Турции электротовары более чем на $443 млн
Эйюб Ягубов создал оркестр BigBand - "бакылы гагашлар" в кепках-"аэродромах" (ВИДЕО)
США импортировали из Турции сталь более чем на $195 млн
Туркменистан импортировал из Турции электротовары более чем на $40 млн
Порт на юго-востоке Турции перевалил почти 9 млн тонн грузов
Россия импортировала из Турции электротовары на $73 млн
Туркменистан участвовал в принятии ряда документов стран Центральной Азии и Китая
Паромное судно "Азербайджан" впервые вошло в туркменский порт (ФОТО)
Даже природа радуется проведению фестиваля "Харыбюльбюль" в Шуше – Мансум Ибрагимов (ВИДЕО)
В Грузии наблюдается рост индекса цен на жилую недвижимость
Бакинское транспортное агентство назвало причину затора на крупном проспекте столицы (ФОТО)
Завтра в Баку будет до 28 градусов тепла
Шейхульислам рассказал, какой будет новая мечеть в городе Шуша
Назван состав сборной Азербайджана на ЧЕ по художественной гимнастике в Болгарии
МЭА ожидает роста добычи нефти в Азербайджане во II квартале
Цены на нефть снижаются после четырех дней роста
Турция увеличила экспорт цемента в Казахстан
МЭА оценило соблюдение Азербайджаном условий сделки ОПЕК+
Иран значительно увеличил импорт готовой одежды из Турции
Армяне за время оккупации земель Азербайджана уничтожили 64 мечети - шейхульислам
Азербайджанский народ одержал победу в Отечественной войне благодаря единству – Аллахшукюр Пашазаде
Турецкий порт Тузла за 3 месяца принял около 400 судов
Азербайджанская нефть дорожает
Чрезвычайно счастливы участвовать сегодня в фестивале «Харыбюльбюль» в Шуше - народный артист
Турция значительно увеличила экспорт стали в Узбекистан
Крупный порт на северо-западе Турции перевалил почти 400 тыс. тонн грузов
Азербайджан сократил импорт из Германии более чем на треть
Казахстан и Франция подписали дорожную карту сотрудничества до 2030 года
Сенат Казахстана принял документ касательно экономических отношений с Кыргызстаном в рамках ЕАЭС
Американский и швейцарский альпинисты погибли при восхождении на Эверест
В мечети Тезепир в Баку совершен праздничный намаз (ФОТО)
Азербайджан увеличил импорт фармпродукции более чем на треть
Баку впервые примет ЧМ по аэробной гимнастике (ВИДЕО)
Омбудсмен Азербайджана обратилась к Верховному комиссару ООН по правам человека
В Шуше совершен праздничный намаз (ВИДЕО)
Джон Керри посетит страны Европы 13-19 мая
Первый вице-президент Мехрибан Алиева поздравила всех мусульман мира с праздником Рамазан из города Шуша (ФОТО)
Израиль нанес удар по зданию турецкого телеканала в секторе Газа
Илон Маск приостановил продажи электромобилей Tesla за биткойны
В Азербайджане отмечают праздник Рамазан
Количество случаев заражения коронавирусом в Казахстане превысило 350 тысяч
Иран получил наиболее обогащенный за время своей ядерной программы уран
В Грузии вырос индекс цен производителей на промышленные товары
Личную коллекцию модельера Кэндзо Такады продали с аукциона в Париже почти за €2,5 млн
Норвегия отказалась от вакцины AstraZeneca
В Аргентине число заразившихся коронавирусом превысило 3,2 млн
Власти Австралии заключили контракт на 25 млн доз вакцины от коронавируса компании Moderna
В Турции от COVID-19 вылечились свыше 4,8 млн человек
Оппозиция Венесуэлы заявила, что инфляция в стране с начала года превысила 240%
Открытое заседание СБ ООН по Палестине и Израилю может пройти 14 мая
Норвегия возьмет $50 млрд из Нефтяного фонда для поддержки экономики в 2021 г.
Биткоин снижается более чем на 15%
В Израиле заявили, что с территории сектора Газа за три дня выпустили более 1,5 тыс. ракет
В штатах юго-востока США прекратила работу почти половина заправок
Президент Словакии направила в Конституционный суд петицию о досрочных выборах
Байден подписал указ об обеспечении кибербезопасности США
Генеральный директор ВОЗ сделал прививку от коронавируса
Генсек ООН призвал добиваться деэскалации палестино-израильского конфликта
Япония запретила въезд иностранцев из Индии, Непала и Пакистана
Число жертв обстрелов со стороны Израиля в секторе Газа возросло до 65
Лавров и Блинкен договорились провести отдельную встречу в Рейкьявике
Все новости