Un’indagine sugli incidenti di una delle organizzazioni prese di mira e condotta dagli esperti di Kaspersky ICS CERT, ha rivelato che gli attacchi del ransomware Cring sfruttano una vulnerabilità nei server VPN.
All’inizio del 2021, alcuni malintenzionati hanno condotto una serie di attacchi utilizzando il ransomware Cring. Questi attacchi erano stati citati dal CSIRT di Swisscom. Anche se, in realtà, ancora non era chiaro come il ransomware riuscisse ad infettare la rete delle organizzazioni. Le vittime di questi attacchi includono imprese industriali situate in alcuni Paesi europei. In uno di questi casi l’attacco ha provocato l’arresto temporaneo di un sito di produzione.
Un primo caso
Nel 2019, i server VPN rilevarono la vulnerabilità CVE-2018-13379. Le patch risolsero il problema, anche se non tutti i dispositivi furono aggiornati. A partire dall’autunno 2020, appaiono sul dark web offerte per l’acquisto degli indirizzi IP. Questi indirizzi erano di dispositivi vulnerabili connessi a internet. Con queste informazioni, un attaccante non autenticato si connette allo strumento tramite internet. Dopodichè, accede in remoto al file di sessione contenente nome utente e password memorizzati con un testo non criptato.
Gli esperti di Kaspersky ICS CERT hanno condotto un’attività di gestione dell’incidente. Essa ha rivelato che gli hacker sfruttarono la vulnerabilità CVE-2018-13379. Le indagini mostrano che gli attaccanti avevano già eseguito prove con il programma VPN. Questo, apparentemente al fine di assicurarsi che le credenziali utente rubate per la VPN fossero ancora valide.
L’utility Mimikatz
Il giorno dell’attacco “Cring”, gli attaccanti hanno utilizzato l’utility Mimikatz. Hanno utilizzato il programma per rubare le credenziali degli account degli utenti Windows. Gli attaccanti sono poi riusciti a compromettere l’account dell’amministratore di dominio e a dare inizio al propagarsi dell’attacco su altri sistemi della rete aziendale. Ciò è avvenuto perchè hanno sfruttato i diritti di accesso dell’amministratore. Con un singolo account utente, poteva entrare in tutti i sistemi della rete. Grazie al controllo di tutti i sistemi preziosi per le operazioni dell’organizzazione industriale, gli attaccanti hanno scaricato e lanciato il virus Cring. La mancanza di aggiornamenti tempestivi del database per la soluzione di sicurezza utilizzata sui sistemi attaccati ha giocato un ruolo chiave nella riuscita dell’attacco. Ciò ha impedito alla soluzione di rilevare e bloccare la minaccia. Va anche notato che alcuni componenti della soluzione antivirus sono stati disabilitati, riducendo ulteriormente la qualità della protezione.
“Vari dettagli dell’attacco indicano che gli attaccanti avevano analizzato attentamente l’infrastruttura dell’organizzazione presa di mira e preparato i propri strumenti sulla base delle informazioni raccolte in fase di ricognizione. Per esempio, il server host del malware da cui è stato scaricato il ransomware Cring aveva abilitato l’infiltrazione tramite indirizzo IP e rispondeva solo alle richieste provenienti da diversi Paesi europei.
Gli script degli attaccanti hanno camuffato l’attività del malware. Essa è apparsa come parte di un’operazione della soluzione antivirus dell’organizzazione. Così facendo, hanno terminato i processi eseguiti dai server di database (Microsoft SQL Server) e dai sistemi di backup che venivano utilizzati sui sistemi selezionati per i codici.
Le parole di Kopeytsev
Un’analisi dell’attività degli attaccanti dimostra che, sulla base dei risultati della ricognizione effettuata sulla rete dell’organizzazione presa di mira, gli attaccanti hanno scelto di criptare quei server la cui perdita, secondo loro, avrebbe causato il maggior numero di danni alle operazioni dell’azienda”, ha commentato Vyacheslav Kopeytsev, security expert dell’ICS CERT di Kaspersky.
È possibile avere maggior informazioni sull’indagine sul sito del Kaspersky ICS CERT.