O serie de companii industriale din țările europene, victime ale unui atac informatic de proporții

La începutul anului 2021, infractorii cibernetici au efectuat o serie de atacuri folosind ransomware-ul Cring. Aceste atacuri au fost menționate de Swisscom CSIRT, dar a rămas neclar modul în care ransomware-ul infectează rețeaua unei organizații. O anchetă de incident efectuată de experții Kaspersky ICS CERT la una dintre companiile atacate a dezvăluit că atacurile ransomware-ului Cring exploatează o vulnerabilitate din serverele VPN. Victimele acestor atacuri includ companii industriale din țările europene. În cel puțin un caz, un atac al ransomware-ului a dus la închiderea temporară a unui centru de producție.

Mod de operare

În ziua atacului, după ce au primit acces la primul sistem din rețeaua companiei, atacatorii au folosit aplicația Mimikatz pentru acel system, pentru a fura datele de cont ale utilizatorilor Windows care fuseseră conectați anterior la sistemul compromis.

Atacatorii au avut noroc să compromită chiar contul de administrator principal, după care au început să se răspândească către alte sisteme din rețeaua organizației, folosindu-se de faptul că administratorul avea drepturi de a accesa toate sistemele din rețea cu contul său.

După ce au făcut analizat situația și au obținut controlul sistemelor importante pentru operațiunile companiei industriale, atacatorii au descărcat și au lansat ransomware-ul Cring.

„Mai multe detalii ale atacului indică faptul că infractorii au analizat cu atenție infrastructura organizației vizate și și-au pregătit infrastructura proprie, dar și un set de instrumente, chiar pe baza informațiilor colectate în etapa de recunoaștere. De exemplu, serverul gazdă pentru malware-ul de pe care a fost descărcat ransomware-ul Cring a fost infiltrat prin adresa IP activată și a răspuns doar solicitărilor din mai multe țări europene. Scripturile atacatorilor au mascat activitatea malware-ului ca fiind o operațiune a soluției antivirus ale organizației și au oprit procesele desfășurate de serverele bazei de date (Microsoft SQL Server) și de sistemele de rezervă (Veeam) care erau utilizate pe sistemele selectate pentru criptare. O analiză a activității atacatorilor demonstrează că, pe baza rezultatelor obținute în etapa de recunoaștere efectuată în rețeaua organizației atacate, au ales să cripteze acele servere despre care atacatorii credeau că ar cauza cele mai mari daune operațiunilor companiei dacă ar fi pierdute”, spune Vyacheslav Kopeytsev, expert în securitate, ICS CERT la Kaspersky.

Antivirus dezactivat

Potrivit experților, lipsa actualizărilor la soluția de securitate utilizată pe sistemele atacate a jucat, de asemenea, un rol cheie, împiedicând sistemul să detecteze și să blocheze amenințarea. De asemenea, trebuie remarcat faptul că unele componente ale soluției antivirus au fost dezactivate, reducând în continuare calitatea protecției.