Hacker nutzen ungepatchte VPNs aus, um Ransomware auf Industriezielen zu installieren

Cyber Security News

Ungepatchte Fortinet-VPN-Geräte sind das Ziel einer Reihe von Angriffen auf Industrieunternehmen in Europa, um einen neuen Stamm von Ransomware namens “Cring” in Firmennetzwerken zu installieren.

Mindestens einer der Hacking-Vorfälle führte zur vorübergehenden Abschaltung eines Produktionsstandorts, so das Cybersecurity-Unternehmen Kaspersky in einem am Mittwoch veröffentlichten Bericht, ohne das Opfer öffentlich zu nennen.

Die Angriffe geschahen im ersten Quartal 2021, zwischen Januar und März.

“Verschiedene Details des Angriffs deuten darauf hin, dass die Angreifer die Infrastruktur der anvisierten Organisation sorgfältig analysiert und ihre eigene Infrastruktur und ihr Toolset auf der Grundlage der in der Aufklärungsphase gesammelten Informationen vorbereitet haben”, so Vyacheslav Kopeytsev, Sicherheitsforscher bei Kaspersky ICS CERT.

[Blocked Image: https://thehackernews.com/images/-P7kvKFVSqWU/YGXEz3gk_tI/AAAAAAAA3uY/qiCyRaK_IA07iGtzVQCOTsnjHTYGR_gKgCLcBGAsYHQ/s728-e100/thn-728-2.png]

Die Enthüllung kommt Tage, nachdem das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) vor Advanced Persistent Threat (APT)-Akteuren gewarnt haben, die aktiv nach Fortinet SSL VPN-Appliances scannen, die unter anderem für CVE-2018-13379 anfällig sind.

“APT-Akteure können diese Schwachstellen oder andere gängige Exploitation-Techniken nutzen, um sich einen ersten Zugang zu verschiedenen staatlichen, kommerziellen und technologischen Diensten zu verschaffen. Der Erstzugang bereitet die APT-Akteure auf die Durchführung zukünftiger Angriffe vor”, so die Behörde.

[Blocked Image: https://thehackernews.com/images/-5QwYhR-6pQ0/YG794Oq_4BI/AAAAAAAACNg/cbtbheKh0Z4gm3R1vdQ6cdPUmQT6WjUNwCLcBGAsYHQ/s0/hack.jpg]

CVE-2018-13379 betrifft eine Path-Traversal-Schwachstelle im FortiOS-SSL-VPN-Webportal, die es nicht authentifizierten Angreifern ermöglicht, beliebige Systemdateien zu lesen, einschließlich der Sitzungsdatei, die im Klartext gespeicherte Benutzernamen und Passwörter enthält.

Obwohl Patches für die Schwachstelle im Mai 2019 veröffentlicht wurden, sagte Fortinet im vergangenen November, dass es eine “große Anzahl” von VPN-Appliances identifiziert hat, die ungepatcht blieben, und warnte gleichzeitig davor, dass IP-Adressen dieser internetfähigen anfälligen Geräte im Dark Web verkauft wurden.

Die Angriffe, die auf europäische Unternehmen abzielten, waren nicht anders, wie Kaspersky in seiner Incident Response feststellte. Der Einsatz der Ransomware Cring beinhaltete die Ausnutzung von CVE-2018-13379, um Zugang zu den Zielnetzwerken zu erhalten.

“Einige Zeit vor der Hauptphase der Operation führten die Angreifer Testverbindungen zum VPN-Gateway durch, offenbar um sicherzustellen, dass die gestohlenen Benutzeranmeldeinformationen für das VPN noch gültig waren”, so die Kaspersky-Forscher.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Nach dem Zugriff sollen die Angreifer das Dienstprogramm Mimikatz verwendet haben, um die Anmeldedaten von Windows-Benutzern abzuschöpfen, die sich zuvor an dem kompromittierten System angemeldet hatten, und diese dann verwendet haben, um in das Konto des Domänenadministrators einzubrechen, sich seitlich im Netzwerk zu bewegen und schließlich die Cring-Ransomware mithilfe des Cobalt Strike-Frameworks per Fernzugriff auf jedem Rechner zu installieren.

Cring, ein im Entstehen begriffener Stamm, der erstmals im Januar 2021 vom Telekommunikationsanbieter Swisscom beobachtet wurde, verschlüsselt bestimmte Dateien auf den Geräten mit starken Verschlüsselungsalgorithmen, nachdem er Spuren aller Backup-Dateien entfernt und Microsoft Office- und Oracle-Datenbankprozesse beendet hat. Nach erfolgreicher Verschlüsselung hinterlässt er eine Lösegeldforderung in Höhe von zwei Bitcoins.

[Blocked Image: https://thehackernews.com/images/-zg8HygZ73Eo/YG7-LtYB1JI/AAAAAAAACNo/wj8rvRY9io4E_QWg643XIdI94kejG4D5gCLcBGAsYHQ/s0/cybersecurity.jpg]

Darüber hinaus hat der Bedrohungsakteur darauf geachtet, seine Aktivitäten zu verbergen, indem er die bösartigen PowerShell-Skripte unter dem Namen “kaspersky” getarnt hat, um der Erkennung zu entgehen, und sichergestellt hat, dass der Server, der die Ransomware-Nutzlast hostet, nur auf Anfragen aus europäischen Ländern reagiert.

“Eine Analyse der Aktivitäten der Angreifer zeigt, dass sie auf der Grundlage der Ergebnisse der im Netzwerk der angegriffenen Organisation durchgeführten Erkundung diejenigen Server verschlüsselt haben, von denen die Angreifer glaubten, dass sie im Falle eines Verlusts den größten Schaden für den Betrieb des Unternehmens verursachen würden”, so Kopeytsev.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com