Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах.

Эксперты Kaspersky ICS CERT провели расследование серии атак с использованием вируса-шифровальщика Cring. Среди жертв оказались промышленные предприятия в странах Европы, у которых хакеры вымогали биткоины.

Атаки произошли в начале 2021 года и по крайней мере в одном случае привели к временной остановке производства на двух итальянских заводах международного промышленного холдинга с головным офисом в Германии.

Исследователи выяснили, что для проникновения в систему шифровальщик Cring использовал уязвимость в VPN-серверах Fortigate. Она позволяет злоумышленнику без аутентификации подключиться к устройству и удаленно получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде.

Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в даркнете начали появляться предложения о покупке базы IP-адресов уязвимых устройств.

Получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учетных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. С ее помощью злоумышленникам удалось похитить учетные данные доменного администратора.

Затем хакеры выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и запустили на них шифровальщик Cring.

1unnamed-16.png (56 KB)

Схема атаки. Данные: Лаборатория Касперского.

За восстановление доступа к зашифрованным серверам операторы вредоноса потребовали выкуп в размере 2 BTC.

2104-cring-7.png (66 KB)

Сообщение с требованием выкупа. Данные: Лаборатория Касперского.

Различные детали атаки указывают, что злоумышленники тщательно изучили инфраструктуру атакуемой организации.

«Скрипты злоумышленников маскировали активность вредоносного ПО под работу защитного решения, используемого на предприятии, и завершали процессы серверов баз данных (Microsoft SQL Server) и систем резервного копирования (Veeam), используемых на системах, которые были выбраны для шифрования», — добавили в Kaspersky ICS CERT.

Для предотвращения атак специалисты компании рекомендуют своевременно обновлять антивирусные базы и программные модули защитных решений, используемых на устройствах.

InternetUA

https://internetua.com/

Новости по теме
Биткоин достиг рыночной стоимости в $1 трлн гораздо быстрее чем Amazon и Apple.

Биткоин достиг рыночной стоимости в $1 трлн гораздо быстрее чем Amazon и Apple.

Биткоин в среду достиг нового исторического максимума, превысив очередной рубеж в $64 тыс. в преддверии старта первичного публичного размещения акций Coinbase Global Inc., владельца крупнейшей в США криптовалютной биржи.

InternetUA

Настройка MIUI 12 после обновления смартфона

Настройка MIUI 12 после обновления смартфона

Для начала я рекомендую зайти в приложение «Безопасность» —> Шестерёнка и проверить пункт «Получать рекомендации», сначала в основном разделе, а потом и в пункте «Очистка», так как они частенько активируются после обновления.

InternetUA

Выпущены апрельские накопительные обновления для Windows 10.

Выпущены апрельские накопительные обновления для Windows 10.

Компания Microsoft выпустила новые ежемесячные накопительные обновления для всех поддерживаемых операционных систем. Как обычно, такие обновление не приносят с собой каких-либо новых функций, а направлены на исправление обнаруженных ошибок и устра...

InternetUA

Киберпреступники распространяют вредоносы через контактные формы на web-сайтах.

Киберпреступники распространяют вредоносы через контактные формы на web-сайтах.

Специалисты компании Microsoft выявили вредоносную кампанию, в рамках которой злоумышленники используют контактные формы на легитимных web-сайтах с целью распространения вредоносного ПО IcedID среди различных компаний и предприятий.

InternetUA

В Харькове закупили новые турецкие автобусы!

В Харькове закупили новые турецкие автобусы!

UA - На перший погляд, виглядає все цілком пристойно, технологічно та дуже цивілізовано. Однак, є одне питання, коли ж ці автобуси вийдуть на рейси та скільки буде коштувати проїзд. До сих пор не подписаны на УНИАН в Telegram? RU - На первый взгля...

1

В Киеве начался ремонт Окружной дороги

В Киеве начался ремонт Окружной дороги

UA - Одну її частину відремонтували кілька років тому, але решту залишили як є, бо тоді дорога перебувала на балансі області й місто фізично не могло почати реконструкцію. Проблему вирішили й розпочали грандіозний ремонт. Про затор, у якому водії ...

Россия и «терроризм» в Крыму - Крымский вечер

Россия и «терроризм» в Крыму - Крымский вечер

Секретарь Совета безопасности России Николай Патрушев провел 14 апреля совещание по вопросам национальной безопасности в аннексированном Севастополе. Он заявил, что «украинские спецслужбы пытаются организовать теракты и диверсии» на территории пол...

Байден решил лично вести переговоры с Путиным по Украине, в РФ продолжают врать.

Байден решил лично вести переговоры с Путиным по Украине, в РФ продолжают врать.

Президент США Джозеф Байден провел телефонный разговор с президентом РФ Владимиром Путиным. Байден также дал понять Путину, что США будут решительно отстаивать свои национальные интересы в ответ на действия РФ, такие как кибератаки и вмешательство...

1

Стоит ли ждать ослабления карантина в Киеве?

Стоит ли ждать ослабления карантина в Киеве?

UA - Сьогодні відзначаємо День «Подивися на небо». Мета цього особливого свята – розширити свої горизонти. Ми тут в студії замість неба можемо побачити хіба що стелю із прожекторами. До сих пор не подписаны на УНИАН в Telegram? RU - Сегодня отмеча...

Выжить в российской тюрьме. Олег Приходько - Доброе утро, Крым

Выжить в российской тюрьме. Олег Приходько - Доброе утро, Крым

Уполномоченная Верховной Рады Украины по правам человека Людмила Денисова обратилась к российскому омбудсмену Татьяне Москальковой с требованием провести полное медицинское обследование проукраинского активиста из Крыма Олега Приходько, осужденног...