El ransomware Cring infecta objetivos industriales a través de una vulnerabilidad en los servidores VPN

Estos ataques fueron mencionados por el CSIRT de Swisscom, pero no quedó claro cómo el ransomware infectaba la red de una organización. Una investigación sobre los incidentes llevada a cabo por los expertos de Kaspersky ICS CERT en una de las empresas atacadas reveló que los ataques del ransomware Cring aprovechan una vulnerabilidad en los servidores VPN. Entre las víctimas de estos ataques se encuentran empresas industriales de países europeos. Al menos en un caso, el ataque del ransomware provocó el cierre temporal de un centro de producción.

En 2019, se conoció la vulnerabilidad CVE-2018-13379 en los servidores VPN Fortigate. El problema fue abordado y parcheado; sin embargo, no todos los dispositivos fueron actualizados – y las ofertas para comprar una lista con las direcciones IP de los dispositivos Internet vulnerables comenzaron a aparecer en los foros de la dark web en otoño de 2020. Con esto, un atacante no autentificado puede conectarse al dispositivo a través de Internet y acceder de forma remota al archivo de sesión, que contiene el nombre de usuario y la contraseña almacenados en texto.

‍

La respuesta al incidente, llevada a cabo por los expertos de Kaspersky ICS CERT, ha revelado que en la serie de ataques de ransomware Cring, el actor de la amenaza explotó la vulnerabilidad CVE-2018-13379 para obtener acceso a la red de la empresa.

La investigación demostró que, algún tiempo antes de la fase principal de la operación, los atacantes realizaron conexiones de prueba al Gateway VPN, aparentemente para asegurarse de que las credenciales de usuario robadas para la VPN seguían siendo válidas.

El día del ataque, después de obtener acceso al primer sistema de la red corporativa, los atacantes utilizaron la utilidad Mimikatz en ese sistema. Esta se utilizó para robar las credenciales de las cuentas de los usuarios de Windows que habían iniciado sesión previamente en el sistema comprometido.

A continuación, los ciberdelincuentes tuvieron la suerte de comprometer la cuenta del administrador del dominio, tras lo cual comenzaron a propagarse a otros sistemas de la red de la organización aprovechando que el administrador tenía derechos para acceder a todos los sistemas de la red con una única cuenta de usuario.

‍

Tras realizar un reconocimiento y obtener el control de los sistemas de mayor valor para las operaciones de la empresa industrial, los atacantes descargaron y lanzaron el ransomware Cring.

Según los expertos, la falta de actualización de la base de datos de la solución de seguridad utilizada en los sistemas atacados también desempeñó un papel clave, impidiendo que la solución detectara y bloqueara la amenaza. También hay que señalar que algunos componentes de la solución antivirus estaban desactivados, lo que redujo aún más la calidad de la protección.

‍

Para mantener los sistemas protegidos de esta amenaza, los expertos de Kaspersky recomiendan:

• Mantener el firmware del Gateway VPN actualizado a las últimas versiones.
• Mantener las soluciones de protección de los endpoints y sus bases de datos actualizadas.
• Asegurarse de que todos los módulos de las soluciones de protección de endpoints están siempre activados, tal y como recomienda el proveedor.
• Asegurarse de que la política del directorio activo solo permita a los usuarios iniciar sesión en aquellos sistemas que requieren para sus necesidades operativas.
• Restringir el acceso a la VPN entre las instalaciones y cerrar todos los puertos que no sean requeridos por necesidades operativas.
• Configurar el sistema de copias de seguridad para que almacene las copias de seguridad en un servidor dedicado.
• Para mejorar aún más la resistencia de su organización a los posibles ataques de ransomware, considere la posibilidad de implementar soluciones de seguridad Endpoint Detection and Response en sus redes de TI y OT.

‍

‍

‍