Cring-Ransomware verbreitet sich durch Lücke in FortiGate VPN

Cyber Security News

Kaspersky berichtet, wie die jüngsten Angriffe auf eine Reihe von europäischen Industrienetzwerken über eine Schwachstelle in Fortinets FortiGate VPN durchgeführt wurden. (Alexxsun/CC BY-SA 4.0)

In den ersten Monaten des Jahres 2021 wurden eine Reihe von europäischen Industrienetzwerken von Ransomware-Betreibern angegriffen, die vermutlich die Ransomware Cring von Hand ausliefern. Kaspersky berichtet als erstes, wie diese Angriffe zustande kamen: eine Schwachstelle in Fortinets FortiGate VPN.

Laut Kaspersky war die Infektion bei einem Kunden so schwerwiegend, dass sie zu einem “vorübergehenden Stillstand des industriellen Prozesses führte, da die zur Steuerung des industriellen Prozesses verwendeten Server verschlüsselt wurden.”

Die Ransomware-Betreiber nutzten eine ursprünglich 2019 gepatchte FortiOS-Schwachstelle (CVE-2018-13379), die es einem Angreifer ermöglicht, im Klartext auf den Benutzernamen und das Passwort zuzugreifen. Die Betreiber scannten einige Tage vor dem Einbruch in das System die Systeme nach verwundbaren Installationen, obwohl es unklar ist, ob sie auf diese Weise ursprünglich die Ziele entdeckt haben. Kaspersky weist auf einen Beitrag in einem Hacker-Forum im Jahr 2020 hin, in dem eine Datenbank mit anfälligen Fortinet-VPN-Clients zum Kauf angeboten wurde.

Von dort aus starteten die Cring-Angreifer Power Shell unter dem Namen “kaspersky” und luden Cobalt Strike.

Die Cring-Kampagne war geofenced; ein an den Angriffen beteiligter Command-and-Control-Server reagierte nur auf Anfragen von europäischen Systemen. Die Angreifer haben anscheinend von Hand ausgewählt, welche Server sie verschlüsseln, um den größten Schaden anzurichten.

Kaspersky listet in seinem Beitrag Indikatoren für eine Kompromittierung auf.

Letzte Woche warnten das FBI und das DHS Unternehmen, dass Advanced-Persistent-Threat-Gruppen in aktiven Angriffen auf CVE-2018-13379 und zwei weitere FortiOS-Schwachstellen abzielen. Es gibt keine aktuellen Daten, die die Cring-Installationen mit einer APT-Gruppe in Verbindung bringen.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com