Ransomware Cring atakuje bramy Fortinet VPN

Firma Kaspersky Lab opublikowała raport na temat nowego oprogramowania ransomware Cring.

Cring wykorzystuje lukę w starszych wersjach bram Fortinet VPN.

Operatorzy Cring wykorzystują lukę CME-2018-13379 w urządzeniach Fortinet SSL VPN, aby uzyskać dostęp do sieci ofiary. Następnie za pomocą zmodyfikowanego narzędzia Mimikatz uzyskują loginy i hasła użytkowników z uprawnieniami administratora oraz infekują infrastrukturę informatyczną.

Wśród ofiar nowego ransomware znalazły się korporacje przemysłowe z Europy. W co najmniej jednym przypadku infekcja doprowadziła do tymczasowej przerwy w produkcji, ponieważ serwery używane w produkcji zostały zaatakowane”- czytamy w raporcie.

Po uzyskaniu dostępu do serwera atakujący używają skryptu Powershell do pobrania samego wirusa ransomware Cring. Wirus wyłącza niektóre usługi i zamyka aplikacje w celu usunięcia blokad plików i całkowitego zaszyfrowania danych na serwerze. Na przykład zatrzymuje usługi systemu kopii zapasowych, a także usługi baz danych. Do szyfrowania używane są niezawodne algorytmy RSA-8192 i AES-128.

Po zakończeniu procesu szyfrowania w katalogach pojawiają się pliki !!!!! readme.rtf i deReadMe !!!. Txt z żądaniem okupu. Z plików wynika, że ​​„typowa wysokość okupu” to 2 BTC, ale jeśli zainfekowana jest duża infrastruktura, wysokość okupu wzrasta. Luka CME-2018-13379 w urządzeniach Fortinet została załatana w maju 2019 r.

Przedstawiciele firmy zaapelowali do wszystkich użytkowników jej produktów o niezwłoczną aktualizację bramek, jeśli wcześniej tego nie zrobiono. Niedawno kilka amerykańskich uniwersytetów naraz zgłosiło wyciek danych osobowych i finansowych w ręce operatorów wirusa ransomware Clop. Hakerzy wykorzystali lukę w rozwiązaniu do przesyłania danych Accellion File Transfer Appliance.

Link do raportu


Comments (No)

Leave a Reply