Les appareils VPN Fortinet non corrigés sont ciblés dans une série d’attaques contre des entreprises industrielles en Europe pour déployer une nouvelle souche de ransomware appelée «Cring» à l’intérieur des réseaux d’entreprise.

Au moins un des incidents de piratage a conduit à la fermeture temporaire d’un site de production, a déclaré la société de cybersécurité Kaspersky dans un rapport publié mercredi, sans nommer publiquement la victime.

Les attaques ont eu lieu au premier trimestre 2021, entre janvier et mars.

“Divers détails de l’attaque indiquent que les attaquants avaient soigneusement analysé l’infrastructure de l’organisation ciblée et préparé leur propre infrastructure et leur propre ensemble d’outils sur la base des informations collectées lors de la phase de reconnaissance,” m’a dit Vyacheslav Kopeytsev, chercheur en sécurité chez Kaspersky ICS CERT.

auditeur de mot de passe

La divulgation intervient quelques jours après le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) averti des acteurs de la menace persistante avancée (APT) recherchent activement les appliances VPN SSL Fortinet vulnérables à CVE-2018-13379, entre autres.

“Les acteurs de l’APT peuvent utiliser ces vulnérabilités ou d’autres techniques d’exploitation courantes pour obtenir un accès initial à plusieurs services gouvernementaux, commerciaux et technologiques. Obtenir un accès initial pré-positionne les acteurs de l’APT pour mener de futures attaques”, a déclaré l’agence.

CVE-2018-13379 concerne une vulnérabilité de traversée de chemin dans le portail Web VPN FortiOS SSL, qui permet à des attaquants non authentifiés de lire des fichiers système arbitraires, y compris le fichier de session, qui contient des noms d’utilisateur et des mots de passe stockés en texte brut.

Bien que des correctifs pour la vulnérabilité aient été publiés dans Mai 2019, Fortinet a déclaré en novembre dernier avoir identifié un “grand nombre“des appliances VPN qui n’ont pas été corrigées, tout en avertissant également que les adresses IP de ces appareils vulnérables connectés à Internet étaient vendues sur le dark web.

Les attaques visant les entreprises européennes n’étaient pas différentes, selon la réponse aux incidents de Kaspersky, qui a révélé que le déploiement du ransomware Cring impliquait l’exploitation de CVE-2018-13379 pour accéder aux réseaux cibles.

“Quelque temps avant la phase principale de l’opération, les attaquants ont effectué des tests de connexion à la passerelle VPN, apparemment pour s’assurer que les informations d’identification de l’utilisateur volées pour le VPN étaient toujours valides”, ont déclaré les chercheurs de Kaspersky.

auditeur de mot de passe

Lors de l’accès, les adversaires auraient utilisé l’utilitaire Mimikatz pour siphonner les informations d’identification du compte des utilisateurs Windows qui s’étaient précédemment connectés au système compromis, puis les utiliser pour pénétrer dans le compte d’administrateur de domaine, se déplacer latéralement sur le réseau et éventuellement déployez le ransomware Cring sur chaque machine à distance à l’aide du framework Cobalt Strike.

Cring, une souche naissante qui a été observée pour la première fois en janvier 2021 par le fournisseur de télécommunications Swisscom, crypte des fichiers spécifiques sur les appareils à l’aide d’algorithmes de chiffrement puissants après avoir supprimé les traces de tous les fichiers de sauvegarde et terminé les processus Microsoft Office et Oracle Database. Après un cryptage réussi, il laisse tomber une note de rançon exigeant le paiement de deux bitcoins.

De plus, l’acteur de la menace a pris soin de cacher son activité en déguisant les scripts PowerShell malveillants sous le nom de «kaspersky» pour échapper à la détection et s’est assuré que le serveur hébergeant la charge utile du ransomware ne répondait qu’aux demandes provenant de pays européens.

“Une analyse de l’activité des attaquants montre que, sur la base des résultats de la reconnaissance effectuée sur le réseau de l’organisation attaquée, ils ont choisi de chiffrer les serveurs qui, selon les attaquants, causeraient le plus de dommages aux opérations de l’entreprise en cas de perte”, a déclaré Kopeytsev m’a dit.



Leave a Reply