Các hacker khai thác những VPN chưa được vá lỗi để cài Ransomware, mục tiêu là những nhà sản xuất công nghiệp.



Các thiết bị Fortinet VPN chưa được vá lỗi đang là mục tiêu của một loạt các cuộc tấn công nhằm vào các công ty công nghiệp ở châu Âu để triển khai một loại ransomware mới có tên “Cring” bên trong các mạng lưới của công ty.

Công ty an ninh mạng Kaspersky cho biết trong một báo cáo được công bố hôm thứ Tư, có ít nhất một trong những sự cố liên quan đến vụ việc này đã gây ra hậu quả lả đóng cửa tạm thời của một trang web sản xuất, thông tin của nạn nhân vẫn chưa được công bố.

Các cuộc tấn công xảy ra vào quý đầu tiên của năm 2021, giữa tháng Giêng và tháng Ba.

Vyacheslav Kopeytsev, một nhà nghiên cứu bảo mật tại Kaspersky ICS CERT cho biết: “Nhiều chi tiết khác nhau của cuộc tấn công cho thấy những hacker đã phân tích kỹ lưỡng cơ sở hạ tầng của tổ chức được nhắm tới và chuẩn bị cơ sở hạ tầng và toolset, dựa trên thông tin thu thập được ở giai đoạn thăm dò”.

Tiết lộ được đưa ra vài ngày sau khi Cục Điều tra Liên bang (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cảnh báo về các advanced persistent threat (APT) tích cực quét các thiết bị Fortinet SSL VPN dễ bị tấn công bởi CVE-2018-13379.

Cơ quan này cho biết: “Các tác nhân APT có thể sử dụng các lỗ hổng này hoặc các kỹ thuật khai thác thông thường khác để có được quyền truy cập ban đầu vào nhiều dịch vụ chính phủ, thương mại và công nghệ. Có được quyền truy cập ban đầu để định vị trước các APT để tiến hành các cuộc tấn công trong tương lai”.

CVE-2018-13379 liên quan đến lỗ hổng truyền tải đường dẫn trong cổng web FortiOS SSL VPN, cho phép những hacker đọc các arbitrary system files, bao gồm session file, chứa tên người dùng và mật khẩu được lưu trữ trong plaintext.

Mặc dù các bản vá cho lỗ hổng bảo mật đã được phát hành vào tháng 5 năm 2019, Fortinet cho biết vào tháng 11 năm ngoái rằng họ đã xác định được “một số lượng lớn” các thiết bị VPN vẫn chưa được vá, đồng thời cảnh báo rằng địa chỉ IP của những thiết bị dễ bị tấn công Internet đó đang được bán trên darkweb.

Các cuộc tấn công nhằm vào các doanh nghiệp châu Âu cũng không khác gì, theo phản hồi sự cố của Kaspersky, cho thấy việc triển khai Cring ransomware liên quan đến việc khai thác CVE-2018-13379 để truy cập vào các mạng mục tiêu.

Các nhà nghiên cứu của Kaspersky cho biết: “Một thời gian trước giai đoạn chính của kế hoạch, những hacker đã thực hiện các kết nối thử nghiệm với VPN Gateway, dường như để đảm bảo rằng thông tin đăng nhập của người dùng bị đánh cắp cho VPN vẫn còn hiệu lực”.

Sau khi giành được quyền truy cập, bọn chúng được cho là đã sử dụng tiện ích Mimikatz để lấy thông tin đăng nhập tài khoản của người dùng Windows trước đó ,đã đăng nhập vào hệ thống bị xâm nhập, sau đó sử dụng chúng để đột nhập vào tài khoản quản trị viên miền, di chuyển qua mạng và cuối cùng triển khai Cring ransomware trên mỗi máy từ xa bằng cách sử dụng Cobalt Strike framework.

Cring, một chủng loại mới được phát hiện lần đầu tiên vào tháng 1 năm 2021 bởi nhà cung cấp viễn thông Swisscom, mã hóa các tệp cụ thể trên thiết bị bằng các thuật toán mã hóa mạnh sau khi xóa dấu vết của tất cả các tệp sao lưu và chấm dứt các quy trình Microsoft Office and Oracle Database. Sau khi mã hóa thành công, nó đưa ra một thông báo đòi tiền chuộc yêu cầu thanh toán bitcoin.

Hơn nữa, hacker đã cẩn thận che giấu hoạt động của họ bằng cách ngụy trang các tập lệnh PowerShell độc hại dưới tên “kaspersky” để tránh bị phát hiện và đảm bảo rằng máy chủ lưu trữ ransomware payload chỉ phản hồi các yêu cầu đến từ các quốc gia châu Âu.

“Một phân tích về hoạt động của những hacker cho thấy rằng, dựa trên kết quả do thám được thực hiện trên mạng của tổ chức bị tấn công, chúng đã chọn mã hóa những máy chủ mà chúng tin rằng sẽ gây ra thiệt hại lớn nhất cho hoạt động của doanh nghiệp nếu bị mất”, Kopeytsev nói.

nguồn: thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật