Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах

encryption2
encryption2

Эксперты Kaspersky ICS CERT провели расследование серии атак с использованием вируса-шифровальщика Cring. Среди жертв оказались промышленные предприятия в странах Европы, у которых хакеры вымогали биткоины.

Атаки произошли в начале 2021 года и по крайней мере в одном случае привели к временной остановке производства на двух итальянских заводах международного промышленного холдинга с головным офисом в Германии.

Исследователи выяснили, что для проникновения в систему шифровальщик Cring использовал уязвимость в VPN-серверах Fortigate. Она позволяет злоумышленнику без аутентификации подключиться к устройству и удаленно получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде.

Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в даркнете начали появляться предложения о покупке базы IP-адресов уязвимых устройств.

Получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учетных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. С ее помощью злоумышленникам удалось похитить учетные данные доменного администратора.

Затем хакеры выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и запустили на них шифровальщик Cring.

Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах

Схема атаки. Данные: Лаборатория Касперского.

За восстановление доступа к зашифрованным серверам операторы вредоноса потребовали выкуп в размере 2 BTC.

Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах

Сообщение с требованием выкупа. Данные: Лаборатория Касперского.

Различные детали атаки указывают, что злоумышленники тщательно изучили инфраструктуру атакуемой организации.

«Скрипты злоумышленников маскировали активность вредоносного ПО под работу защитного решения, используемого на предприятии, и завершали процессы серверов баз данных (Microsoft SQL Server) и систем резервного копирования (Veeam), используемых на системах, которые были выбраны для шифрования», — добавили в Kaspersky ICS CERT.

Для предотвращения атак специалисты компании рекомендуют своевременно обновлять антивирусные базы и программные модули защитных решений, используемых на устройствах.

Напомним, в конце марта внутренние системы канадского производителя устройств Интернета вещей Sierra Wireless оказались парализованы из-за атаки вируса-шифровальщика.

Неназванный вредонос зашифровал внутреннюю сеть компании, из-за чего сотрудники лишились доступа к документам и системам, связанным с производством и планированием.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости, инфографика и мнения.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK