Топ Новое

«Лаборатория Касперского»: Шифровальщик Cring атакует промышленные объекты через уязвимость в VPN-серверах

15-04-2021, 10:32 Просмотров: Наука и Техника
«Лаборатория Касперского»: Шифровальщик Cring атакует промышленные объекты через уязвимость в VPN-серверах


15 апреля 2021, 10:32 - NovostiNK
В начале 2021 года злоумышленники провели серию атак с использованием шифровальщика Cring. Расследование инцидента, проведённое экспертами Kaspersky ICS CERT на одном из атакованных предприятий, выявило, что в атаках шифровальщика Cring используется уязвимость в VPN-серверах.

Согласно релизу, среди жертв оказались промышленные предприятия в странах Европы. И по крайней мере в одном из случаев атака шифровальщика привела к временной остановке производства на двух итальянских заводах международного промышленного холдинга с головной организацией в Германии.

В серии атак шифровальщиком Cring злоумышленники эксплуатировали уязвимость CVE-2018-13379 в VPN-серверах Fortigate для получения первоначального доступа к сети предприятия. Уязвимость позволяет злоумышленнику без аутентификации подключиться к устройству и удалённо получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде. Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в дарквебе начали появляться предложения о покупке базы IP-адресов уязвимых устройств.

В ходе расследования выяснилось, что в день атаки, получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учётных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. С её помощью злоумышленникам посчастливилось сразу украсть учётные данные доменного администратора. После непродолжительной разведки злоумышленники выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и сразу загрузили и запустили на них шифровальщик Cring.

Чтобы защитить системы от шифровальщика Cring, эксперты рекомендуют постоянно обновлять прошивку VPN-шлюза и решения для защиты конечных точек и их базы данных до последних версий; убедиться, что политики Active Directory позволяют пользователям входить только в те системы, доступ к которым обусловлен рабочей необходимостью; ограничить VPN-доступ между объектами и закрыть все порты, работа которых не требуется для выполнения технологического процесса; рассмотреть возможность внедрения защитных решений класса Endpoint Detection and Response как в корпоративной, так и в промышленной сети; адаптировать сервисы класса Managed Detection and Response для получения оперативного доступа к высококлассным знаниям и наработкам профессиональных экспертов по кибербезопасности; использовать специальную защиту для промышленных процессов.

Более детальная информация о расследовании доступна на сайте Kaspersky ICS CERT.


Поделитесь с друзьями:


Предыдущая новость: Следующая новость:
Президент Армен Саркисян отбывает в Грузию с официальным визитом
Президент Армен Саркисян отбывает в Грузию с официальным визитом
По приглашению президента Грузии Саломе Зурабишвили президент Армении...
Лукашенко рассказал о просьбе Алиева по урегулированию в Карабахе
Лукашенко рассказал о просьбе Алиева по урегулированию в Карабахе
Президент Белоруссии Александр Лукашенко рассказал, что его...
Государственная академия художеств Гюмри уже имеет фотовольтаическую электростанцию
Государственная академия художеств Гюмри уже имеет фотовольтаическую электростанцию
Гюмрийская государственная академия художеств оснащена небольшой...


Книги
Жанны Агасян