Cring勒索软件通过VPN服务器中的漏洞感染工业目标

2021年初，威胁行为者使用Cring勒索软件发起了一系列攻击。Swisscom的计算机响应小组（CSIRT）曾提到这些攻击，但不清楚勒索软件如何感染组织网络的。卡巴斯基ICS CERT专家在一家受攻击企业进行的事件调查显示，Cring勒索软件攻击利用了VPN服务器中的一个漏洞。这些攻击的受害者包括欧洲国家的工业企业。至少在一个案例中，这种勒索软件攻击导致一个生产基地暂时关闭。

2019年，Fortigate VPN服务器中的CVE-2018-13379漏洞被公开。该问题已得到解决并打了补丁，然而，并非所有设备都得到了更新——从2020年秋季开始，暗网论坛上就出现了寻求购买现成的IP地址列表的请求，其IP对应的是暴露在互联网上包含漏洞的设备。通过这些IP地址，未授权的攻击者可以通过互联网连接到这些设备，访问回话文件，其中包含明文文本存储的用户名和密码。

卡巴斯基ICS CERT专家进行的事故响应发现，在这一系列的Cring勒索软件攻击中，威胁行为者利用了CVE-2018-13379漏洞来获取对企业网络的访问权限。

调查显示，在攻击行动的主要阶段开始之前的一段时间，攻击者对VPN网关进行了测试连接，显然是为了确保被盗的VPN用户凭证仍然有效。

在攻击当日，攻击者在进入企业网络的第一个系统后，对该系统使用了Mimikatz实用程序。这款实用程序被用来窃取以前登录过被入侵系统的Windows用户的账户凭证。

然后，攻击者很幸运地入侵了域管理员账户，之后，他们开始滥用管理员有权利使用单一用户账户访问网络上所有系统的事实，向企业网络上的其他系统传播。

在进行侦查并获得对工业企业运营有价值的系统的控制权之后，攻击者下载并启用了Cring勒索软件。

安装专家表示，被攻击系统上使用的安全解决方案缺乏及时的反病毒数据库更新也起了关键作用，从而未能检测和拦截威胁。还应注意，反病毒解决方案的一些组件被禁用，进一步降低了保护质量。

“攻击的各种细节表明，攻击者仔细分析了目标组织的基础架构，并根据侦察阶段收集的信息准备了自己的基础设施和工具集。例如，下载Cring勒索软件的恶意软件的主机服务器启用了IP地址过滤功能，仅响应来自几个欧洲国家的请求。攻击者的脚本将恶意软件的活动伪装成企业的防病毒解决方案的一种操作，并终止了数据库服务器（Microsoft SQL Server）和用于加密选定系统的备份系统（Veeam）运行的进程。对攻击者活动的分析表明，根据对被攻击组织网络进行侦察的结果，攻击者会选择他们认为一旦丢失数据会对企业业务造成最大损失的服务器进行加密，”卡巴斯基ICS CERT安全专家Vyacheslav Kopeytsev评论说。

更多有关这次调查的详情，请访问卡巴斯基ICS CERT网站。

为了保护您的系统不受这些威胁的侵害，卡巴斯基专家建议：

• 确保VPN网关的固件升级到最新版本。
• 确保端点保护解决方案及其数据库升级到最新版本。
• 确保端点保护解决方案的所有模块都保持启用——正如供应商所建议的那样。
• 确保活动目录策略只允许用户登录其操作需要的系统。
• 限制设施之间的VPN接入，关闭所有操作需求中无需使用的端口。
• 配置备份系统，在专用服务器上存储备份副本。
• 为了进一步增强您的组织抵御潜在勒索软件攻击的能力，请考虑在IT和OT网络中部署端点检测和响应安全解决方案。
• 引入托管检测和响应服务，以便立即从专业安全专家那里获得高水平的技能和知识，这可能也是个好主意。
• 为工业流程使用专门的保护。卡巴斯基工业网络安全能够保护工业节点，并启用OT网络监控以发现和阻止恶意活动。

关于卡巴斯基ICS CERT

卡巴斯基工业控制系统网络应急响应小组（卡巴斯基ICS CERT）是卡巴斯基于2016年发起的一个全球性项目，旨在协调自动化系统供应商、工业设施所有者和运营商以及IT安全研究人员的努力，以保护工业企业免受网络攻击。卡巴斯基ICS CERT致力于识别针对工业自动化系统和工业物联网的潜在和现有的威胁。卡巴斯基ICS CERT是提供保护工业企业免受网络威胁的建议的国际组织中的积极成员和合作伙伴。ics-cert.kaspersky.com

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com