08/04/21
Операторы программы-вымогателя Cring атаковали два производственных предприятия, принадлежащих европейскому производителю. Преступники загрузили новую версию вымогательского ПО Cring и зашифровали серверы, контролирующие производственные процессы.
Операторы вымогателя перехватили контроль над сетями предприятий, используя уязвимость ( CVE-2018-13379 ) в серверах Fortinet Fortigate VPN. Уязвимость обхода каталогов позволяет неавторизованным злоумышленникам получить файл сеанса, содержащий логин и пароль открытым текстом для VPN.
Операторы Cring провели разведку и использовали инструмент Mimikatz с целью хищения учетных данных администратора домена, хранящихся в памяти сервера. Затем злоумышленники использовали фреймворк Cobalt Strike для установки Cring. Для сокрытия атаки хакеры замаскировали установочные файлы под антивирусное ПО от «Лаборатории Касперского» и других поставщиков.
После установки программа-вымогатель шифрует данные с помощью алгоритма AES-256, а ключ — с помощью встроенного открытого ключа RSA-8192. В записке преступники требуют два биткойна в обмен на ключ доступа к данным.
В первом квартале нынешнего года операторы Cring атаковали неназванного производителя в Германии. Заражение распространилось на сервер с базами данных, необходимыми для производственной линии. В результате производственные процессы были временно остановлены на двух предприятиях производителя, расположенных в Италии. Компания отказалась платить выкуп вымогателям и восстановила большую часть зашифрованных данных.
«Злоумышленники тщательно проанализировали инфраструктуру атакуемой организации и подготовили собственную инфраструктуру и инструментарий на основе собранных разведданных. Преступники приняли решение зашифровать те серверы, потеря которых, по их мнению, нанесет наибольший ущерб деятельности предприятия», — пояснили специалисты.
