Spis treści
Firma Kaspersky Lab opublikowała raport na temat nowego oprogramowania ransomware Cring.
Cring wykorzystuje lukę w starszych wersjach bram Fortinet VPN.
Operatorzy Cring wykorzystują lukę CME-2018-13379 w urządzeniach Fortinet SSL VPN, aby uzyskać dostęp do sieci ofiary. Następnie za pomocą zmodyfikowanego narzędzia Mimikatz uzyskują loginy i hasła użytkowników z uprawnieniami administratora oraz infekują infrastrukturę informatyczną.
„Wśród ofiar nowego ransomware znalazły się korporacje przemysłowe z Europy. W co najmniej jednym przypadku infekcja doprowadziła do tymczasowej przerwy w produkcji, ponieważ serwery używane w produkcji zostały zaatakowane”- czytamy w raporcie.
Po uzyskaniu dostępu do serwera atakujący używają skryptu Powershell do pobrania samego wirusa ransomware Cring. Wirus wyłącza niektóre usługi i zamyka aplikacje w celu usunięcia blokad plików i całkowitego zaszyfrowania danych na serwerze. Na przykład zatrzymuje usługi systemu kopii zapasowych, a także usługi baz danych. Do szyfrowania używane są niezawodne algorytmy RSA-8192 i AES-128.
Po zakończeniu procesu szyfrowania w katalogach pojawiają się pliki !!!!! readme.rtf i deReadMe !!!. Txt z żądaniem okupu. Z plików wynika, że „typowa wysokość okupu” to 2 BTC, ale jeśli zainfekowana jest duża infrastruktura, wysokość okupu wzrasta. Luka CME-2018-13379 w urządzeniach Fortinet została załatana w maju 2019 r.
Przedstawiciele firmy zaapelowali do wszystkich użytkowników jej produktów o niezwłoczną aktualizację bramek, jeśli wcześniej tego nie zrobiono. Niedawno kilka amerykańskich uniwersytetów naraz zgłosiło wyciek danych osobowych i finansowych w ręce operatorów wirusa ransomware Clop. Hakerzy wykorzystali lukę w rozwiązaniu do przesyłania danych Accellion File Transfer Appliance.
Link do raportu
Comments (No)