Los piratas informáticos aprovechan la falla de Fortinet en sofisticados ataques de ransomware Cring - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los piratas informáticos aprovechan la falla de Fortinet en sofisticados ataques de ransomware Cring

Hola, un placer verte por aquí. En el teclado Eduardo Arroyo y hoy hablaremos sobre Los piratas informáticos aprovechan la falla de Fortinet en sofisticados ataques de ransomware Cring

Los piratas informáticos aprovechan la falla de Fortinet en sofisticados ataques de ransomware Cring

Empresas industriales en Europa son el objetivo de la campaña, que obligó al cierre de procesos industriales en al menos una de las redes víctimas, según los investigadores.

Los actores de la amenaza están explotando una vulnerabilidad de Fortinet informada por los federales la semana pasada que proporciona una nueva cepa de ransomware, llamada Cring, que se dirige a empresas industriales en toda Europa.

Los investigadores dicen que los atacantes están explotando una falla de inversión de ruta sin parches, que se muestra como CVE-2018-13379, en FortiOS de Fortinet. El objetivo es obtener acceso a las redes corporativas de las víctimas y, en última instancia, entregar ransomware, según un publicación del Informe de investigadores de Kaspersky esta semana.

«En al menos un caso, un ataque de ransomware resultó en un cierre temporal del proceso industrial debido al cifrado de los servidores utilizados para controlar el proceso industrial», escribió en el informe el investigador senior de seguridad de Kaspersky, Vyacheslav Kopeytsev.

Cring es relativamente nuevo en el panorama de amenazas de ransomware, que ya incluye las cepas dominantes REvil, Ryuk, Maze y Conti. Cring fue el primero observado e informado por el investigador que acude a Amigo_A y al equipo CSIRT de Swisscom en enero. El ransomware es único en el sentido de que utiliza dos formas de cifrado y destruye los archivos de respaldo en un intento de antagonizar a las víctimas y evitar que recuperen los archivos de respaldo sin pagar el rescate.

La semana pasada, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtieron que los grupos de amenazas persistentes avanzadas (APT) del estado nacional estaban explotando activamente vulnerabilidades de seguridad conocidas en el sistema operativo Fortinet FortiOS, lo que afecta a los productos SSL VPN de la compañía.

Uno de esos errores, cuyo seguimiento es CVE-2018-13379, es un defecto de cruce de ruta en Fortinet FortiOS. La vulnerabilidad está relacionada con el portal web SSL VPN del sistema y permite que un atacante no autenticado descargue archivos del sistema de sistemas específicos a través de solicitudes de recursos HTTP especialmente diseñadas.

En su informe, Kaspersky se hizo eco de la advertencia federal de que los atacantes están escaneando primero las conexiones VPN de Fortinet para ver si el software utilizado en el dispositivo es la versión vulnerable. En la campaña observada por los investigadores, los actores de amenazas siguen una cadena de exploits, explotan un segundo error conocido (CVE-2018-13379) y lanzan un ataque transversal de directorio. El objetivo es romper el hardware abierto y proporcionar a los adversarios acceso a las credenciales de la red y establecer un punto de apoyo en la red objetivo, explicó Kopeytsev.

«Un ataque transversal de directorio permite a un atacante acceder a los archivos del sistema en el dispositivo Fortigate SSL VPN», escribió. «Específicamente, un atacante no autenticado puede conectarse al dispositivo a través de Internet y acceder de forma remota al archivo» sslvpn_websession «, que contiene el nombre de usuario y la contraseña almacenados en texto sin cifrar».

Una vez que obtienen acceso al primer sistema en la red corporativa, los atacantes usan la utilidad Mimikatz para robar las credenciales de la cuenta de los usuarios de Windows que habían iniciado sesión previamente en el sistema comprometido, según Kaspersky.

De esta manera, los atacantes comprometieron la cuenta del administrador del dominio y luego utilizaron herramientas básicas como la puerta trasera Cobalt Stroke y Powershell para propagar los ataques a varios sistemas en la red, según el informe.

Después de obtener el control completo, los atacantes descargan un script cmd para lanzar el ransomware Cring, nombrando el script de ejecución malicioso «Kaspersky» para disfrazarlo como una solución de seguridad, dijo Kopeytsev.

El informe analiza cómo Cring logra el cifrado y destruye los archivos de respaldo existentes una vez que se ejecutan en un sistema. Primero, el ransomware interrumpe varios servicios de dos programas clave en la red: Veritas NetBackup y Microsoft SQL Server.

Cring también detiene el servicio SstpSvc, que se utiliza para crear conexiones VPN, que los investigadores especulan que bloqueará cualquier esfuerzo de reparación por parte de los administradores del sistema, dijo Kopeytsev.

«Es muy probable que los atacantes, que en esta etapa controlaban el sistema infectado a través de Cobalt Strike, lo hicieran para que fuera imposible conectarse al sistema infectado de forma remota a través de VPN», escribió. «Esto se hizo para evitar que los administradores del sistema brinden una respuesta oportuna al incidente de seguridad de la información».

Cring procede al finalizar otros procesos de aplicación en el software Microsoft Office y Oracle Database para facilitar el cifrado y la eliminación de los archivos de respaldo clave para evitar que se restauren, según el informe.

En su etapa final, Cring comienza a cifrar archivos utilizando algoritmos de cifrado avanzados para que las víctimas no puedan descifrar archivos sin conocer la clave privada RSA que tienen los atacantes, explicó Kopeytsev. Primero, cada archivo se cifra con una clave de cifrado AES y luego esa clave se cifra a su vez utilizando una clave pública RSA de 8.192 bits codificada en el archivo ejecutable del programa malicioso, escribió.

Una vez que se completa el cifrado, el malware libera una nota de rescate de los atacantes que piden dos bitcoins (actualmente el equivalente a unos 114.000 dólares) a cambio de la clave de cifrado.

El informe destaca los errores clave cometidos por los administradores de red en el ataque observado por los investigadores de Kaspersky con la esperanza de que otras organizaciones puedan aprender de ellos. Primero, el ataque destaca una vez más la importancia de mantener los sistemas actualizados con los últimos parches, lo que podría haber evitado el incidente por completo, dijo Kopeytsev.

«Las principales causas del incidente incluyen el uso de una versión de firmware obsoleta y vulnerable en el servidor Fortigate VPN (se utilizó la versión 6.0.2 en el momento del ataque), lo que permitió a los atacantes explotar la vulnerabilidad CVE-2018. -13379 y obtener acceso a la red corporativa «, escribió.

Los administradores del sistema también se dejaron expuestos a los ataques no solo al ejecutar un sistema antivirus (AV) obsoleto, sino también al deshabilitar ciertos componentes AV que redujeron aún más el nivel de protección, según el informe.

Los errores clave en la configuración de privilegios para las políticas de dominio y los parámetros de acceso de RDP también entraron en juego en el ataque, esencialmente dando rienda suelta a los atacantes una vez que ingresan a la red, señaló Kopeytsev.

«No hubo restricciones de acceso a los diferentes sistemas», escribió. “En otras palabras, todos los usuarios pueden acceder a todos los sistemas. Esta configuración ayuda a los atacantes a distribuir malware a través de la red corporativa mucho más rápido, ya que comprometer con éxito una sola cuenta de usuario les da acceso a numerosos sistemas «.

.

Deberías compartir en en tu Twitter y Facebook para que tus amigos lo disfruten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *