Os dispositivos Fortinet VPN não corrigidos estão sendo alvos de uma série de ataques contra empresas industriais na Europa para implantar uma nova variedade de ransomware chamada “Cring” dentro de redes corporativas.
Pelo menos um dos incidentes de hackers levou ao desligamento temporário de um site de produção, disse a empresa de segurança cibernética Kaspersky em um relatório publicado na quarta-feira, sem divulgar publicamente o nome da vítima.
Os ataques aconteceram no primeiro trimestre de 2021, entre janeiro e março.
“Vários detalhes do ataque indicam que os invasores analisaram cuidadosamente a infraestrutura da organização visada e prepararam sua própria infraestrutura e conjunto de ferramentas com base nas informações coletadas na fase de reconhecimento”, disse Vyacheslav Kopeytsev, pesquisador de segurança da Kaspersky ICS CERT.
A divulgação ocorre dias depois que o Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) alertam sobre os agentes de ameaças persistentes avançadas (APT) que procuram dispositivos Fortinet SSL VPN vulneráveis a CVE-2018-13379, entre outros.
“Os atores da APT podem usar essas vulnerabilidades ou outras técnicas comuns de exploração para obter acesso inicial a vários serviços governamentais, comerciais e de tecnologia. O acesso inicial pré-posiciona os atores da APT para conduzir ataques futuros”, conforme a agência.
A CVE-2018-13379 refere-se a uma vulnerabilidade de passagem de caminho no portal da web FortiOS SSL VPN, que permite que atacantes não autenticados leiam arquivos de sistema arbitrários, incluindo o arquivo de sessão, que contém nomes de usuário e senhas armazenados em texto simples.
Embora os patches para a vulnerabilidade tenham sido lançados em maio de 2019, a Fortinet disse em novembro passado que identificou um “grande número” de dispositivos VPN que permaneceram sem patch, ao mesmo tempo em que alertou que os endereços IP desses dispositivos vulneráveis voltados para a Internet estavam sendo vendidos na dark web.
Em uma declaração compartilhada com o The Hacker News, a Fortinet disse que pediu aos clientes que atualizassem seus aparelhos “em várias ocasiões em agosto de 2019, julho de 2020 e novamente em abril de 2021” após a correção de maio de 2019. “Se os clientes não o fizeram, pedimos que implementem imediatamente a atualização e as atenuações”, disse a empresa.
Os ataques dirigidos a empresas europeias não foram diferentes, de acordo com a resposta a incidentes da Kaspersky, que descobriu que a implantação do ransomware Cring envolvia a exploração do CVE-2018-13379 para obter acesso às redes alvo.
“Algum tempo antes da fase principal da operação, os atacantes realizaram conexões de teste ao Gateway VPN, aparentemente para se certificar de que as credenciais de usuário roubadas para a VPN ainda eram válidas”, conforme informações dos pesquisadores da Kaspersky.
Ao obter acesso, os adversários teriam usado o utilitário Mimikatz para desviar as credenciais da conta de usuários do Windows que haviam feito login anteriormente no sistema comprometido, utilizando-os para invadir a conta do administrador de domínio, mover-se lateralmente pela rede e, eventualmente, implantar o ransomware Cring em cada máquina remotamente usando a estrutura Cobalt Strike.
O Cring, uma variedade nascente observada pela primeira vez em janeiro de 2021 pelo provedor de telecomunicações Swisscom, criptografa arquivos específicos nos dispositivos usando algoritmos de criptografia robustos após remover rastros de todos os arquivos de backup e encerrar os processos do Microsoft Office e do banco de dados Oracle. Após a criptografia bem-sucedida, ele libera uma nota de resgate exigindo o pagamento de dois bitcoins.
Além do mais, o ator da ameaça teve o cuidado de ocultar sua atividade disfarçando os scripts maliciosos do PowerShell sob o nome “kaspersky” para evitar a detecção e garantiu que o servidor que hospeda a carga útil do ransomware respondesse apenas às solicitações vindas de países europeus. “Uma análise da atividade dos atacantes demonstra que, com base nos resultados do reconhecimento realizado na rede da organização atacada, eles optaram por criptografar os servidores que os atacantes acreditavam que causariam os maiores danos às operações da empresa se perdidos”, conforme Kopeytsev.
Este artigo é uma tradução de: https://thehackernews.com/2021/04/hackers-exploit-unpatched-vpns-to.html
