Il ransomware Cring infetta i server Vpn



[ZEUS News - www.zeusnews.it - 08-04-2021]

cring

All'inizio del 2021, alcuni threat actor hanno condotto una serie di attacchi utilizzando il ransomware Cring. Questi attacchi erano stati citati dal CSIRT di Swisscom anche se ancora non era chiaro quale fosse il modo in cui il ransomware riuscisse ad infettare la rete delle organizzazioni. Un'indagine sugli incidenti di una delle organizzazioni prese di mira e condotta dagli esperti di Kaspersky ICS CERT, ha rivelato che gli attacchi del ransomware Cring sfruttano una vulnerabilità nei server VPN. Le vittime di questi attacchi includono imprese industriali situate in alcuniPaesi europei. In uno di questi casi l'attacco ha provocato l'arresto temporaneo di un sito di produzione.

Nel 2019, fu rilevata la vulnerabilità CVE-2018-13379 nei server VPN Fortigate. Il problema venne affrontato e risolto grazie alle patch, anche se non tutti i dispositivi furono aggiornati.

A partire dall'autunno 2020, infatti, iniziarono ad apparire su alcuni forum presentinel dark weble offerte per l'acquisto di un elenco già pronto contenente indirizzi IP di dispositivi vulnerabili connessi a internet. Con queste informazioni, un attaccante non autenticato poteva connettersi all'appliancetramite internet e accedere in remoto al file di sessione contenente nome utente e password memorizzati in chiaro, ovvero con un testo non crittografato.

L'attività di incident response ha rivelato che nella serie di attacchi con il ransomware Cring, per ottenere l'accesso alla rete aziendale, il threat actor ha sfruttato la vulnerabilità CVE-2018-13379.

Le indagini hanno mostrato che, qualche tempo prima della fase più importante dell'operazione, gli attaccanti avevano eseguito connessioni di prova al gateway VPN, apparentemente al fine di assicurarsi che le credenziali utente rubate per la VPN fossero ancora valide.

Il giorno dell'attacco, dopo aver ottenuto l'accesso al primo sistema della rete aziendale, gli attaccanti hanno utilizzato l'utility Mimikatz. L'utility è stata sfruttata per rubare le credenziali degli account degli utenti Windows che avevano precedentemente effettuato l'accesso al sistema compromesso. Gli attaccanti sono poi riusciti a compromettere l'account dell'amministratore di dominio e a dare inizio al propagarsi dell'attacco su altri sistemi della rete aziendale sfruttando i diritti di accesso dell'amministratore che, con un singolo account utente, poteva entrare in tutti i sistemi della rete.

Sondaggio
A partire da quale età i bambini dovrebbero avere uno smartphone personale?
Nessuna
3 anni o meno
4-5 anni
6-7 anni
8-9 anni
10-11 anni
12-14 anni
15-17 anni

Mostra i risultati (1664 voti)
Leggi i commenti (8)

Dopo aver fatto una ricognizione e ottenuto il controllo di tutti i sistemi preziosi per le operazioni dell'organizzazione industriale, gli attaccanti hanno scaricato e lanciato il ransomware Cring.

Secondo gli esperti, un ruolo chiave nella riuscita dell'attacco lo ha giocato la mancanza di aggiornamenti tempestivi del database per la soluzione di sicurezza utilizzata sui sistemi attaccati, impedendo alla soluzione di rilevare e bloccare la minaccia. Va anche notato che alcuni componenti della soluzione antivirus sono stati disabilitati, riducendo ulteriormente la qualità della protezione.

"Vari dettagli dell'attacco indicano che gli attaccanti avevano analizzato attentamente l'infrastruttura dell'organizzazione presa di mira e preparato il proprio toolkit sulla base delle informazioni raccolte in fase di ricognizione. Per esempio, il server host del malware da cui è stato scaricato il ransomware Cring aveva abilitato l'infiltrazione tramite indirizzo IP e rispondeva solo alle richieste provenienti da diversi Paesi europei. Gli script degli attaccantihanno camuffato l'attività del malware facendola apparire come parte di un'operazione della soluzione antivirus dell'organizzazione terminando i processi eseguiti dai server di database (Microsoft SQL Server) e dai sistemi di backup (Veeam) che venivano utilizzati sui sistemi selezionati per l'encryption. Un'analisi dell'attività degli attaccanti dimostra che, sulla base dei risultati della ricognizione effettuata sulla rete dell'organizzazione presa di mira, gli attaccanti hanno scelto di criptare quei server la cui perdita, secondo loro, avrebbe causato il maggior numero di danni alle operazioni dell'azienda", ha commentato a Zeus News Vyacheslav Kopeytsev, security expert dell'ICS CERT di Kaspersky.

Per proteggersi da questa minaccia, raccomandiamo di:
• Aggiornare il firmware del gateway VPN alle ultime versioni.
• Aggiornare le soluzioni di protezione degli endpoint e i loro database alle ultime versioni.
• Assicurarsi che tutti i moduli delle soluzioni di protezione degli endpoint siano sempre abilitati, come raccomandato dal fornitore.
• Assicurarsi che la policy di active directory permetta agli utenti di accedere solo a quei sistemi che sono richiesti dalle loro esigenze operative.
• Limitare l'accesso VPN tra le strutture e impedire l'accesso a tutte quelle porte che non sono richieste da esigenze operative.
• Configurare il sistema di backup per memorizzare le copie di sicurezza su un server dedicato.
• Migliorare ulteriormente la resistenza dell'organizzazione a potenziali attacchi ransomware considerando l'implementazione di soluzioni di sicurezza di tipo Endpoint Detection and Response su entrambe le reti IT e OT.
• Adattare i servizi Managed Detection and Response per ottenere un accesso immediato al più alto livello di competenze e conoscenze da parte di esperti di sicurezza professionisti.
• Utilizzare una protezione dedicata ai processi industriali.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Colpevoli di ransomware
Attacco ransomware, registro elettronico kaputt da giorni
4 italiani su 10 pagano i riscatti del ransomware
Incendio tra le nuvole? Ho il backup
Attacco a Microsoft Exchange, decine di migliaia i server ancora vulnerabili
Noia da lockdown, il vero rischio cyber del 2021
Studenti e lavoratori in smart working nel mirino dei ransomware
Il lato umano del ransomware
10 suggerimenti per proteggersi dagli attacchi DDoS
Sgominato Emotet, la madre di tutti i malware
Data Privacy Day: 5 consigli per gestire e proteggere i dati
I principali trend per la sicurezza informatica del 2021
Ospedali sotto cyber attacco: settore sanitario il più bersagliato
Il phishing evolve verso il machine learning
Gli attacchi ransomware diventano sempre più sofisticati
La tecnologia at-home come gateway all'impresa
La lotta al ransomware procede silenziosa ma con successo

Commenti all'articolo (4)

Infatti questa è una delle contromisure che si possono adottare, può certo generare dei falsi positivi e, di conseguenza va abbinata con altri strumenti di monitoraggio di basso livello sulla rete e sugli accessi. Purtroppo oggi però, per costi e per complessità che questi sistemi aggiungono, costringendo anche l'azienda a sostituire i... Leggi tutto
17-4-2021 11:11

Concordo sulla difficoltà della difesa , ciò non toglie che con dei sistemi dedicati che analizzano il traffico si riesce a capire cosa sta succedendo sulla rete. Per esempio, lessi che un azienda poteva evitare un attacco mirato con esfiltrazione dei dati, semplicemente vedendo la mole di dati generata durante la notte rispetto ai mesi... Leggi tutto
16-4-2021 19:51

A parte che non viene specificato quale antivirus era installato in questa azienda, mi sembra che questa frase sia piuttosto generica e poso circostanziata e, quindi, di difficile interpretazione nel contesto dell'attacco. In ogni caso pare di capire che si tratti di un attacco assai ben mirato e strutturato per colpire determinate... Leggi tutto
11-4-2021 17:49

{perplesso}
"..alcuni componenti della soluzione antivirus sono stati disabilitati", non sono un esperto di antivirus, ma mi sembra incredibile che un antivirus di tale importanza si faccia disabilitare parti di sé così facilmente, o che permetta ad un amministratore, necessariamente remoto, di farlo senza un controllo,... Leggi tutto
8-4-2021 17:02

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è la più grande inquietudine che hai a casa e che la domotica potrebbe risolvere?
Sentirsi insicuri in casa quando si è lì da soli.
Che le persone lascino le luci accese quando non serve.
Dimenticarsi se le porte sono state chiuse a chiave o se le finestre sono state chiuse a dovere.
Familiari anziani non autosufficienti quando in casa sono soli.
Preoccuparsi della sicurezza quando siamo lontani.
Perdere tempo a girare per casa ad accendere o spegnere le luci.
Preoccuparsi che le attrezzature della cucina (per esempio il forno) siano state lasciate accese accidentalmente.
Preoccuparsi che la casa sembri vuota quando siamo lontani.
Possibili incidenti nelle zone della casa che non sono adeguatamente illuminate durante la notte.
La casa è troppo calda o troppo fredda per il dovuto comfort.

Mostra i risultati (1016 voti)
Giugno 2021
Windows 11 sarà più veloce di Windows 10
Windows 11, l'update da Windows 7 e 8 sarà gratis
Windows 11, l'ISO del sistema finisce in Rete
Windows 11, i primi screenshot sfuggono in Rete
Tutti gli indizi che puntano a Windows 11
Gli hard disk al grafene sono 10 volte più capienti
Microsoft nasconde la fotocamera sotto lo schermo che forma il logo di Windows
Il nuovo Windows 10 si svela a fine mese
Nuova tecnica contro il ransomware: ingannare il sistema di pagamento
Maggio 2021
Malvivente condannato grazie a una foto delle dita pubblicata online
Annunciata la prossima generazione di Windows
Guidi male? Forse è un primo segno di demenza
Scarsità di chip, televisori più cari del 30%
Android 12: veloce, attento alla privacy e personalizzabile
Nella Tesla schiantatasi con “nessuno” al volante c’era qualcuno al volante
Tutti gli Arretrati
Accadde oggi - 23 giugno


web metrics