Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Уязвимость в Fortigate VPN позволила вымогателям нарушить работу двух предприятий

08/04/21

FortigateОператоры программы-вымогателя Cring атаковали два производственных предприятия, принадлежащих европейскому производителю. Преступники загрузили новую версию вымогательского ПО Cring и зашифровали серверы, контролирующие производственные процессы.

Операторы вымогателя перехватили контроль над сетями предприятий, используя уязвимость ( CVE-2018-13379 ) в серверах Fortinet Fortigate VPN. Уязвимость обхода каталогов позволяет неавторизованным злоумышленникам получить файл сеанса, содержащий логин и пароль открытым текстом для VPN.

Операторы Cring провели разведку и использовали инструмент Mimikatz с целью хищения учетных данных администратора домена, хранящихся в памяти сервера. Затем злоумышленники использовали фреймворк Cobalt Strike для установки Cring. Для сокрытия атаки хакеры замаскировали установочные файлы под антивирусное ПО от «Лаборатории Касперского» и других поставщиков.

После установки программа-вымогатель шифрует данные с помощью алгоритма AES-256, а ключ — с помощью встроенного открытого ключа RSA-8192. В записке преступники требуют два биткойна в обмен на ключ доступа к данным.

В первом квартале нынешнего года операторы Cring атаковали неназванного производителя в Германии. Заражение распространилось на сервер с базами данных, необходимыми для производственной линии. В результате производственные процессы были временно остановлены на двух предприятиях производителя, расположенных в Италии. Компания отказалась платить выкуп вымогателям и восстановила большую часть зашифрованных данных.

«Злоумышленники тщательно проанализировали инфраструктуру атакуемой организации и подготовили собственную инфраструктуру и инструментарий на основе собранных разведданных. Преступники приняли решение зашифровать те серверы, потеря которых, по их мнению, нанесет наибольший ущерб деятельности предприятия», — пояснили специалисты.

Темы:ПреступленияVPN-сервисыВымогателиFortinet
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...