Kaspersky Lab的研究员在周三表示,瑞兰软件运营商在部署相对较新的压力后,将欧洲制造商关闭了两个生产设施,该设施在欧洲制造商处于加密控制制造商工业流程的加密服务器。
被称为ring的赎金制造器在一个公众的关注1月博客帖子。它通过利用Fortinet销售的VPN中的长期修补漏洞来掌握网络。追踪为CVE-2018-13379,目录横向漏洞允许未经身份验证的攻击者获取包含VPN的用户名和纯密码的会话文件。
使用初始追逐次数,一个现场巡航运算符执行侦察,并使用Mimikatz工具的自定义版本,以尝试提取存储在服务器内存中的域管理员凭据。最终,攻击者使用Cobalt Strike框架来安装Cring。要屏蔽进入攻击,黑客伪装了来自卡巴斯基实验室或其他提供商的安全软件。
一旦安装,Ransomware将使用256位AES加密锁定数据,并使用已硬编码的RSA-8192公钥加密密钥。留下的一个注释需要两个比特币以换取将解锁数据的AES密钥。
更多的爆炸
在今年的第一季度,Cring感染了德国未命名的制造商,Vyacheslav Kopeytsev,卡巴斯基实验室的ICS Cert团队成员在一封电子邮件中表示。感染传播到制造商生产线所需的服务器托管数据库。因此,过程暂时关闭了制造商运营的基于意大利的两种设施的内部。卡巴斯基实验室认为停机持续了两天。
“攻击的各种细节表明,攻击者已经仔细分析了攻击组织的基础设施,并根据在侦察阶段收集的信息编写了自己的基础架构和工具集,”Kopeytsev写道博客帖子。He went on to say, “An analysis of the attackers’ activity demonstrates that, based on the results of reconnaissance performed on the attacked organization’s network, they chose to encrypt those servers the loss of which the attackers believed would cause the greatest damage to the enterprise’s operations.”
事件响应者最终恢复最多,但不是来自备份的所有加密数据。受害者没有支付任何赎金。没有报道感染造成伤害或不安全的条件。
贤者建议没有注意
2019年,研究人员观察了黑客积极尝试利用关键的FortiGate VPN漏洞。当时大约480,000个设备连接到互联网。上周,联邦调查局和网络安全和基础设施安全机构表示,CVE-2018-13379是几个人之一FortiGate VPN漏洞这可能在积极利用中用于未来的攻击。Fortinet 11月说它检测到一个“大量”的VPN设备,其留下了不被对抗CVE-2018-13379。该咨询还表示,公司官员了解这些系统的IP地址在地下犯罪论坛上销售,或者人们正在执行互联网广播扫描,以找到未被划分的系统。
在周四发表的声明中,Fortinet官员写道:
客户的安全是我们的第一个优先事项。例如,CVE-2018-13379是2019年5月解决的旧漏洞。Fortinet立即发出了一个PSIRT咨询,并通过客户和通过公司博客帖子在2019年8月2020年8月2020年7月再次推荐升级。在决议后,我们一直与客户始终如一,截至4月2021年。要获取更多信息,请访问我们的博客,并立即介绍2019年5月咨询。如果客户没有这样做,我们敦促他们立即实施升级和缓解。
除了未能安装更新之外,KopeyTsev表示,德国的制造商也忽略了安装防病毒更新,并限制对敏感系统的访问仅选择员工。
这不是Mallware制造过程中第一次。在2019年然后再次去年在受卫纳克里兰森制品和一块未知的恶意软件感染后,本田停止制造。世界上最大的铝业生产商之一,挪威Norsk Hydro,是由2019年的赎金软件攻击击中关闭其全球网络,停止或中断植物,并将其争夺争夺员争先恐后地送回正常情况。修补和重新配置工业环境中的设备可以特别昂贵且困难,因为其中许多需要持续运行以维持盈利能力并保持按时。关闭装配线以安装和测试安全更新或对网络进行更改可能导致无激动人心的实际费用。当然,让勒索沃版运营商自己关闭工业过程是更具可怕的情景。
帖子已更新以从Fortinet添加语句。
你必须登录或者创建一个帐户评论。