Le ransomware Cring cible les VPN Fortinet non-patchés

0

Une faille qui affecte les VPN Fortinet est exploitée par une nouvelle souche de ransomware connue sous le nom de Cring pour pirater et chiffrer les réseaux des entreprises du secteur industriel.

Le ransomware Cring (également connu sous le nom Crypt3r, Vjiszy1lo, Ghost, Phantom) a été découvert par Amigo_A en Janvier et repéré par l’équipe d’intervention du fournisseur Suisse de télécommunications Swisscom.

Les opérateurs de Cring déposent des échantillons de Mimikatz personnalisés, suivis par CobaltStrike après avoir obtenu un accès initial et déployer les charges utiles de ransomware en téléchargeant en utilisant le gestionnaire légitime de certificat Windows CertUtil pour contourner les logiciels de sécurité.

Comme les chercheurs de Kaspersky l’ont révélé dans un rapport publié récemment, les pirates informatiques exploitent les serveurs VPN Fortigate SSL non-patchés et exposés à Internet en utilisant la vulnérabilité CVE-2018-13379, ce qui leur permet de violer le réseau de leurs cibles.

« Les victimes de ces attaques incluent des entreprises industrielles dans les pays européens », ont déclaré les chercheurs de Kaspersky.

« Au moins dans un cas, une attaque de ransomware a entraîné un arrêt temporaire du processus industriel car des serveurs utilisés pour contrôler le processus industriel ont été chiffré. »

Les attaques du ransomware Cring

Depuis l’appareil VPN Fortinet, les opérateurs de Cring se déplacent latéralement sur le réseau d’entreprise des cibles en volant les informations d’identification des utilisateurs Windows et en utilisant Mimikatz pour prendre le contrôle du compte d’administrateur de domaine.

Les charges utiles du ransomware sont ensuite déployées sur des appareils dans les réseaux des victimes en utilisant le framework d’émulation de la menace Cobalt Strike déployé à l’aide d’un script PowerShell malveillant.

cring

Depuis le VPN Fortinet, les opérateurs de Cring se déplacent latéralement sur le réseau d’entreprise des cibles en volant les informations d’identification des utilisateurs Windows en utilisant Mimikatz pour prendre le contrôle du compte administrateur du domaine.

Les charges utiles du ransomware sont ensuite livrées à des appareils sur les réseaux des victimes en utilisant le cadre d’émulation de la menace Cobalt Strike déployé à l’aide d’un script PowerShell malveillant.

Les victimes ont utilisé le service ID-Ransomware pour vérifier si leurs systèmes ont été touchés par le ransomware Cring depuis que la première opération a fait surface en Décembre 2020.

30 échantillons du ransomware Cring ont été soumis à ce jour, avec au moins un par jour depuis la fin du mois de Janvier.

cring

Les indicateurs de compromis, y compris les hachages d’échantillons de logiciels malveillants, les adresses IP du serveur de commande et de contrôle et les adresses des serveurs d’hébergement de logiciels malveillants, sont disponibles à la fin du rapport de Kaspersky.

Les produits de Fortinet ciblés par les APT et les groupes de cybercriminels

Le FBI et la CISA ont mis en garde la semaine dernière contre les attaques avancées des pirates informatique à la recherche d’appareils VPN Fortinet SSL vulnérables aux exploits de CVE-2018-13379.

L’avis conjoint met également en garde contre les attaquants énumérant les serveurs non patchés contre CVE-2020-12812 et CVE-2019-5591.

Comme le montrent les campagnes précédentes, tous les serveurs compromis au cours de ces tentatives d’infiltration pourraient être utilisés dans de futures attaques comme vecteurs d’accès initiaux pour violer les réseaux du gouvernement ou des organisations commerciales.

« Les pirates informatique peuvent utiliser l’une ou l’autre de ces vulnérabilités pour accéder à des réseaux dans de multiples secteurs d’infrastructure critiques pour accéder à des réseaux clés pour l’exfiltration des données de suivi ou des attaques de cryptage de données », ont averti les agences.

« Les pirates informatiques ont historiquement exploité les vulnérabilités critiques pour mener des attaques par déni de service distribué (DDoS), des attaques de ransomware, des attaques d’injection SQL, des campagnes d’hameçonnage ciblé, des dégradations de sites Web et des campagnes de désinformation. »

Les pirates informatiques sponsorisés par des Etats ont abusé de la vulnérabilité de CVE-2018-13379 dans le passé pour compromettre les systèmes d’élections américaines accessibles sur Internet.

Fortinet a également mis en garde ses clients contre CVE-2018-13379 en Août 2019, Juillet 2020, Novembre 2020 et de nouveau en Avril 2021.

« La sécurité de nos clients est notre première priorité. CVE-2018-13379 est une vieille vulnérabilité résolue en Mai 2019 », a déclaré Fortinet plus tôt la semaine dernière. « Si les clients ne l’ont pas fait, nous leur recommandons de mettre immédiatement en œuvre la mise à niveau et les mesures d’atténuation. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire