Cring ransomware frappe ICS par bug de deux ans

Les opérateurs de Cring ransomware ont mené une série d’attaques dommageables contre des cibles industrielles et des systèmes de contrôle (ICS) après avoir apparemment acquis une liste d’utilisateurs du serveur VPN FortiGate de Fortinet qui n’avaient pas pris la peine de corriger une vulnérabilité dangereuse.

Identifié et corrigé pour la première fois il y a quelque temps, CVE-2018-13379 est une vulnérabilité traversée de chemin dans plusieurs versions du système d’exploitation FortiOS qui pourrait permettre à un attaquant non autorisé de télécharger des fichiers système en faisant des demandes de ressources HTTP spécialement conçues.

La campagne d’attaques ransomware a été mise en évidence pour la première fois plus tôt en 2021 par le CSIRT de la compagnie de téléphone Swisscom, mais une enquête sur les incidents menée par l’équipe de l’ICS CERT de la société de sécurité Kaspersky a maintenant mis au jour les moyens par lesquels Cring arrive à ses cibles. Les victimes à ce jour sont pour la plupart des entreprises industrielles en Europe – dans au moins un cas, Cring a provoqué la fermeture temporaire d’un site de production en direct.

Vyacheslav Kopeytsev, l’un des experts de kaspersky ICS CERT, a déclaré que le gang Cring s’était avéré habile à cibler leurs victimes.

« Divers détails de l’attaque indiquent que les assaillants ont soigneusement analysé l’infrastructure de l’organisation ciblée et préparé leur propre infrastructure et outils basés sur les informations recueillies au stade de la reconnaissance », a-t-il dit.

« Par exemple, le serveur hôte pour le malware à partir duquel le ransomware Cring a été téléchargé avait infiltration par adresse IP activé et n’a répondu qu’aux demandes de plusieurs pays européens. Les scripts des attaquants ont déguisé l’activité du malware en une opération par la solution antivirus de l’entreprise et mis fin aux processus effectués par les serveurs de base de données (Microsoft SQL Server) et les systèmes de sauvegarde (Veeam) qui ont été utilisés sur les systèmes sélectionnés pour le chiffrement.

« Une analyse de l’activité des attaquants démontre que, sur la base des résultats de la reconnaissance effectuée sur le réseau de l’organisation attaquée, ils ont choisi de chiffrer les serveurs qui, selon les attaquants, causeraient le plus de dommages aux opérations de l’entreprise en cas de perte. »

Soulignant l’importance du patching en temps opportun, l’enquête Kaspersky a révélé que quelqu’un avait proposé à la vente une liste prête à l’effet contenant les adresses IP des appareils vulnérables faisant face à Internet, sur le dark web à l’automne 2020. Grâce à cela, les attaquants ont pu se connecter à des appareils vulnérables via Internet et accéder à distance à un fichier de session contenant le nom d’utilisateur et le mot de passe en texte clair.

Avant d’injecter cring, le gang a effectué des connexions de test à leurs passerelles VPN cible pour s’assurer que les informations d’identification volées étaient toujours bonnes. Puis, après avoir accéd au premier système sur leur réseau de victimes, ils ont utilisé l’utilitaire open source Mimikatz pour obtenir des informations d’identification d’administrateur, après quoi ils pouvaient facilement se déplacer latéralement à travers le réseau, prendre le contrôle des opérations ICS, et lancer le ransomware.

Kaspersky a déclaré qu’un manque de mises à jour opportunes de base de données pour la solution de sécurité utilisée sur les systèmes attaqués a également joué un rôle clé dans la vie des cybercriminels, empêchant les défenses de détecter et de bloquer les menaces. En outre, dans certains cas, les composants des solutions antivirus avaient été désactivés par les organisations attaquées.

Pour éviter d’être victime d’autres attaques via cette méthode, Kopeytsev a conseillé aux utilisateurs de FortiGate de : conserver leur firmware VPN Gateway, ainsi que la protection des points de terminaison et les bases de données, entièrement mises à jour vers les dernières versions; s’assurer que tous les modules des services de protection des points de terminaison sont allumés; resserrer les politiques actives des réalisateurs; restreindre l’accès au VPN entre les sites et les ports fermés qui ne sont pas nécessaires sur le plan opérationnel; et prendre les précautions habituelles pour se protéger contre ransomware.

L’analyse complète de la campagne de Kopeytsev peut être lue et téléchargée sur le site Web de kaspersky ICS CERT.

Cette recherche survient moins d’une semaine après que l’Agence américaine de cybersécurité et de sécurité des infrastructures a publié un avis conjoint aux côtés des équipes de sécurité du FBI pour avertir les équipes de sécurité d’une probabilité accrue d’exploitation des vulnérabilités de Fortinet FortiOS, y compris cve-2018-13379, par des groupes avancés de menace persistante (APT).

L’avis disait que les acteurs malveillants utilisaient ces vulnérabilités pour accéder au gouvernement, aux services commerciaux et technologiques multiples. Les équipes de sécurité devraient prendre un moment pour examiner d’autres informations et mesures d’atténuation ici.