Cómo una vulnerabilidad de VPN permitió que el ransomware interrumpiera dos plantas de fabricación

imágenes falsas

Los operadores de ransomware cerraron dos instalaciones de producción pertenecientes a un fabricante europeo después de implementar una variedad relativamente nueva que encripta servidores que controlan los procesos industriales del fabricante, dijo el miércoles un investigador de Kaspersky Lab.

El ransomware conocido como Cring llamó la atención del público en un Entrada de blog de enero. Se apodera de las redes explotando vulnerabilidades con parches largos en las VPN vendidas por Fortinet. Rastreada como CVE-2018-13379, la vulnerabilidad transversal del directorio permite a los atacantes no autenticados obtener un archivo de sesión que contiene el nombre de usuario y la contraseña de texto sin formato para la VPN.

Con un punto de apoyo inicial, un operador de Cring en vivo realiza un reconocimiento y utiliza una versión personalizada de la herramienta Mimikatz en un intento de extraer las credenciales de administrador de dominio almacenadas en la memoria del servidor. Finalmente, los atacantes usan el marco Cobalt Strike para instalar Cring. Para enmascarar el ataque en curso, los piratas informáticos disfrazan los archivos de instalación como software de seguridad de Kaspersky Lab u otros proveedores.

Una vez instalado, el ransomware bloquea los datos mediante el cifrado AES de 256 bits y cifra la clave utilizando una clave pública RSA-8192 codificada en el ransomware. Una nota dejada exige dos bitcoins a cambio de la clave AES que desbloqueará los datos.

Más explosión para el dólar

En el primer trimestre de este año, Cring infectó a un fabricante anónimo en Alemania, Vyacheslav Kopeytsev, dijo un miembro del equipo ICS CERT de Kaspersky Lab en un correo electrónico. La infección se propagó a un servidor que alojaba las bases de datos necesarias para la línea de producción del fabricante. Como resultado, los procesos se cerraron temporalmente dentro de dos instalaciones con sede en Italia operadas por el fabricante. Kaspersky Lab cree que los cierres duraron dos días.

«Varios detalles del ataque indican que los atacantes analizaron cuidadosamente la infraestructura de la organización atacada y prepararon su propia infraestructura y conjunto de herramientas en base a la información recopilada en la etapa de reconocimiento», escribió Kopeytsev en un entrada en el blog. Continuó diciendo: «Un análisis de la actividad de los atacantes demuestra que, en base a los resultados del reconocimiento realizado en la red de la organización atacada, optaron por cifrar aquellos servidores cuya pérdida, según los atacantes, causaría el mayor daño a la red de la organización atacada». operaciones de la empresa «.

Los respondedores de incidentes finalmente restauraron la mayoría, pero no todos, los datos cifrados de las copias de seguridad. La víctima no pagó ningún rescate. No hay informes de infecciones que causen daños o condiciones inseguras.

Consejos sabios no seguidos

En 2019, los investigadores observaron a los piratas informáticos tratando activamente de explotar la vulnerabilidad crítica de FortiGate VPN. Aproximadamente 480.000 dispositivos estaban conectados a Internet en ese momento. La semana pasada, el FBI y la agencia de seguridad de infraestructura y ciberseguridad dijeron que el CVE-2018-13379 era uno de varios Vulnerabilidades de FortiGate VPN que probablemente estaban bajo explotación activa para su uso en futuros ataques.

Fortinet en noviembre dicho que detectó una “gran cantidad” de dispositivos VPN que permanecieron sin parchear contra CVE-2018-13379. El aviso también dijo que los funcionarios de la compañía estaban al tanto de los informes de que las direcciones IP de esos sistemas se vendían en foros criminales clandestinos o que las personas estaban realizando escaneos en Internet para encontrar sistemas sin parchear.

Además de no poder instalar las actualizaciones, Kopeytsev dijo que el fabricante con sede en Alemania también descuidó instalar actualizaciones de antivirus y restringir el acceso a sistemas confidenciales solo a empleados selectos.

No es la primera vez que el malware interrumpe un proceso de fabricación. En 2019 y otra vez el año pasado Honda detuvo la fabricación después de ser infectado por el ransomware WannaCry y un malware desconocido. Uno de los mayores productores de aluminio del mundo, Norsk Hydro de Noruega, fue golpeado por un ataque de ransomware en 2019 que cerró su red mundial, detuvo o interrumpió las plantas y envió a los trabajadores de TI luchando por devolver las operaciones a la normalidad.

Parchear y reconfigurar dispositivos en entornos industriales puede ser especialmente costoso y difícil porque muchos de ellos requieren un funcionamiento constante para mantener la rentabilidad y cumplir con el cronograma. Cerrar una línea de montaje para instalar y probar una actualización de seguridad o para realizar cambios en una red puede generar gastos reales que no son triviales. Por supuesto, hacer que los operadores de ransomware cierren un proceso industrial por su cuenta es un escenario aún más terrible.

Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *