В начале 2021 года злоумышленники провели серию атак с использованием шифровальщика Cring. Эти атаки упоминались исследователями Swisscom CSIRT, однако не было известно, как именно шифровальщик попадает в сеть организаций. Расследование инцидента, проведённое экспертами Kaspersky ICS CERT на одном из атакованных предприятий, выявило, что в атаках шифровальщика Cring используется уязвимость в VPN-серверах. Среди жертв оказались промышленные предприятия в странах Европы. И по крайней мере в одном из случаев атака шифровальщика привела к временной остановке производства на двух итальянских заводах международного промышленного холдинга с головной организацией в Германии.

Расследование инцидента, проведённое экспертами Kaspersky ICS CERT, показало, что в серии атак шифровальщиком Cring злоумышленники эксплуатировали уязвимость CVE-2018-13379 в VPN-серверах Fortigate для получения первоначального доступа к сети предприятия. Уязвимость позволяет злоумышленнику без аутентификации подключиться к устройству и удалённо получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде. Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в дарквебе начали появляться предложения о покупке базы IP-адресов уязвимых устройств.

В ходе расследования выяснилось: за некоторое время до начала основной фазы атаки злоумышленники выполнили тестовые подключения к VPN-шлюзу, видимо, чтобы убедиться, что украденные в ходе атаки на VPN-сервер данные аутентификации остаются актуальными. В день атаки, получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учётных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. С её помощью злоумышленникам посчастливилось сразу украсть учётные данные доменного администратора.

После непродолжительной разведки злоумышленники выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и сразу загрузили и запустили на них шифровальщик Cring.

По данным экспертов, отсутствие своевременного обновления антивирусных баз и программных модулей для защитного решения, используемого на атакуемых системах, также сыграло ключевую роль, не позволив решению обнаружить и заблокировать угрозу. Некоторые компоненты антивирусного решения на момент атаки были отключены, и это тоже снизило качество защиты системы.

«Различные детали атаки указывают, что злоумышленники тщательно изучили инфраструктуру атакуемой организации, после чего подготовили свой инструментарий с учётом информации, собранной на этапе разведки. Например, скрипты злоумышленников маскировали активность вредоносного ПО под работу защитного решения, используемого на предприятии, и завершали процессы серверов баз данных (Microsoft SQL Server) и систем резервного копирования (Veeam), используемых на системах, которые были выбраны для шифрования. Анализ действий злоумышленников показывает, что в результате изучения сети атакуемой организации для шифрования были выбраны серверы, потеря доступа к которым, по мнению злоумышленников, могла нанести максимальный ущерб работе предприятия», — комментирует Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

Более детальная информация о расследовании доступна на сайте Kaspersky ICS CERT.

Чтобы защитить системы от шифровальщика Cring, эксперты «Лаборатории Касперского» рекомендуют придерживаться следующих мер:

• постоянно обновлять прошивку VPN-шлюза до последних версий;
• постоянно обновлять решения для защиты конечных точек и их базы данных до последних версий;
• убедиться, что все модули решений для защиты конечных точек всегда включены в соответствии с рекомендациями производителя;
• убедиться, что политики Active Directory позволяют пользователям входить только в те системы, доступ к которым обусловлен рабочей необходимостью;
• ограничить VPN-доступ между объектами и закрыть все порты, работа которых не требуется для выполнения технологического процесса;
• настроить систему резервного копирования для хранения резервных копий на выделенном сервере;
• чтобы ещё больше повысить устойчивость организации к потенциальным атакам шифровальщиков, рассмотреть возможность внедрения защитных решений класса Endpoint Detection and Response как в корпоративной, так и в промышленной сети;
• адаптировать сервисы класса Managed Detection and Response для получения оперативного доступа к высококлассным знаниям и наработкам профессиональных экспертов по кибербезопасности;
• использовать специальную защиту для промышленных процессов. Kaspersky Industrial CyberSecurity защищает конечные устройства и позволяет сетевому мониторингу промышленной сети выявлять и пресекать вредоносную активность.