El nuevo ransomware Cring llega a los dispositivos VPN de Fortinet sin parches


Una vulnerabilidad que afecta a las VPN de Fortinet es explotada por una nueva cepa de ransomware administrado por humanos conocida como Cring para violar y cifrar las redes de empresas industriales.

Cring ransomware (también conocido como Crypt3r, Vjiszy1lo, Ghost, Phantom) fue descubierto de Amigo_A en enero e manchado por el equipo CSIRT del proveedor de telecomunicaciones suizo Swisscom.

Los operadores de Cring lanzan muestras personalizadas de Mimikatz, seguidas de CobaltStrike después de obtener el acceso inicial, y distribuyen las cargas útiles de ransomware mediante la descarga mediante el administrador de certificados legítimo de Windows CertUtil para evitar el software de seguridad.

Como revelaron los investigadores de Kaspersky en un relación lanzado hoy, los atacantes explotan los servidores Fortigate SSL VPN expuestos a Internet sin parchear el archivo CVE-2018-13379 vulnerabilidad, que les permite violar la red de sus objetivos.

"Las víctimas de estos ataques incluyen empresas industriales en países europeos", dijeron los investigadores de Kaspersky.

"En al menos un caso, un ataque de ransomware resultó en un cierre temporal del proceso industrial debido al cifrado de los servidores utilizados para controlar el proceso industrial".

Índice()

    Ataques de ransomware Cring

    Desde el dispositivo VPN de Fortinet, los operadores de Cring se mueven lateralmente en la red corporativa de destino al robar las credenciales de usuario de Windows utilizando Mimikatz para obtener el control de la cuenta del administrador de dominio.

    Las cargas útiles de ransomware se envían luego a los dispositivos en las redes de las víctimas utilizando el marco de emulación de amenazas Cobalt Strike implementado mediante un script de PowerShell malicioso.

    Flujo de ataque de ransomware Cring
    Flujo de ataque de ransomware Cring (Kaspersky)

    El ransomware solo cifra archivos específicos en dispositivos comprometidos utilizando algoritmos de cifrado avanzados (RSA-8192 + AES-128) después de eliminar archivos de respaldo y eliminar los procesos de Microsoft Office y Oracle Database.

    ¡Entonces emita notas de rescate llamadas !!!!! readme.rtf y deReadMe !!!. Txt advirtiendo a las víctimas que su red ha sido encriptada y que deben apresurarse a pagar el rescate porque la clave de desencriptación no se mantendrá indefinidamente.

    Sorry, your network is encrypted, and most files are encrypted using special technology. The file cannot be recovered by any security company. If you do not believe that you can even consult a security company, your answer will be that you need to pay the corresponding fees, but we have a good reputation. After receiving the corresponding fee, we will immediately send the decryption program and KEY. You can contact us to get two file decryption services, and then you will get all decryption services after paying our fee, usually the cost is about 2 bitcoins.
    
    Contact: eternalnightmare@tutanota.com  qkhooks0708@protonmail.com

    Las víctimas han utilizado el servicio ID-Ransomware para comprobar si sus sistemas se han visto afectados por el ransomware Cring desde que la operación apareció por primera vez en diciembre de 2020.

    Hasta ahora se han enviado 30 muestras de ransomware Cring, incluida al menos una por día desde finales de enero.

    Actividad de ransomware de Cring
    Actividad de ransomware de Cring (ID-ransomware)

    Los indicadores de compromiso (IOC), incluidos los hash de malware de muestra, las direcciones IP del servidor C2 y las direcciones del servidor de alojamiento de malware, están disponibles al final de El informe de Kaspersky.

    Productos de Fortinet dirigidos por APT y grupos de ciberdelincuencia

    La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtieron a principios de esta semana que los Actores de Amenazas Persistentes Avanzadas (APT) escanean los dispositivos VPN de Fortinet SSL vulnerables a las vulnerabilidades CVE-2018-13379.

    El aviso conjunto también advierte de los atacantes que enumeran servidores sin parche contra CVE-2020-12812 y CVE-2019-5591.

    Como lo demostraron campañas anteriores, cualquier servidor comprometido durante estos intentos de infiltración podría usarse en ataques futuros como un vector de acceso inicial para violar las redes de organizaciones comerciales o gubernamentales.

    "Los actores de APT podrían usar cualquiera o todos estos CVE para obtener acceso a redes en múltiples sectores de infraestructura crítica para obtener acceso a redes clave como una preposición para la subsiguiente exfiltración de datos o ataques de cifrado de datos", dijeron, advirtieron las agencias.

    "Los actores de APT han explotado históricamente vulnerabilidades críticas para llevar a cabo ataques de denegación de servicio distribuido (DDoS), ataques de ransomware, ataques de lenguaje de consulta estructurado (SQL), campañas de spearphishing, desfiguración de sitios web y campañas de desinformación".

    Los piratas informáticos estatales han abusado de la vulnerabilidad CVE-2018-13379 en el pasado para comprometer los sistemas de apoyo electoral de EE. UU. Accesibles en Internet.

    Fortinet también advirtió a los clientes que parcheen sus dispositivos contra el CVE-2018-13379 en Agosto de 2019, Julio de 2020, es Noviembre de 2020.

    "La seguridad de nuestros clientes es nuestra primera prioridad. CVE-2018-13379 es una antigua vulnerabilidad que se solucionó en mayo de 2019", dijo Fortinet a BleepingComputer a principios de esta semana. "Si los clientes no lo han hecho, los instamos a que implementen la actualización y las mitigaciones de inmediato".

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir