Na początku 2021 r. cyberprzestępcy przeprowadzili serię ataków przy użyciu oprogramowania wymuszającego okup, o nazwie Cring. Poinformował o tym zespół CSIRT szwajcarskiego dostawcy usług telekomunikacyjnych, Swisscom, jednak sposób, w jaki oprogramowanie ransomware infekowało sieć organizacji, pozostawał nieznany. Badanie incydentu, który wystąpił w jednym z zaatakowanych przedsiębiorstw, przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky, wykazało, że ataki przy użyciu oprogramowania Cring wykorzystują lukę w zabezpieczeniach serwerów VPN. Wśród ofiar znajdują się przedsiębiorstwa przemysłowe w państwach europejskich. W co najmniej jednym przypadku atak z wykorzystaniem ransomware spowodował tymczasowe zamknięcie zakładu produkcyjnego.
W 2019 roku ujawniono lukę CVE-2018-13379 w serwerach VPN Fortigate. Mimo pojawienia się łaty nie wszystkie urządzenia zostały zaktualizowane – i od jesieni 2020 r. na forach darkwebu zaczęły pojawiać się oferty zakupu gotowej listy zawierającej adresy IP urządzeń podatnych na ataki. Dzięki nim nieuwierzytelniony atakujący może połączyć się z urządzeniem za pośrednictwem internetu i uzyskać zdalny dostęp do pliku sesji, który zawiera nazwę użytkownika i hasło przechowywane w postaci niezaszyfrowanego tekstu.
Badanie incydentu przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky wykazało, że w serii ataków z użyciem oprogramowania Cring ugrupowanie cyberprzestępcze uzyskało dostęp do sieci przedsiębiorstwa z wykorzystaniem luki CVE-2018-13379.
Dochodzenie wykazało, że na jakiś czas przed główną fazą operacji przestępcy wykonali połączenia testowe z bramą sieci VPN, najwyraźniej w celu upewnienia się, że skradzione dane uwierzytelniające użytkowników do sieci VPN są nadal ważne.
W dniu ataku, po uzyskaniu dostępu do pierwszego systemu w sieci przedsiębiorstwa, atakujący wykorzystali narzędzie Mimikatz w celu kradzieży poświadczeń kont użytkowników systemu Windows, którzy wcześniej logowali się do zhakowanego systemu. Przestępcom udało się następnie włamać do konta administratora domeny, po czym zaczęli przenikać do innych systemów w sieci organizacji dzięki temu, że administrator posiadał prawa dostępu do wszystkich systemów z jednego konta użytkownika.
Po przeprowadzeniu rekonesansu i przejęciu kontroli nad systemami, które były istotne dla operacji przedsiębiorstwa przemysłowego, cyberprzestępcy pobrali i uruchomili oprogramowanie wymuszające okup — Cring.
Według badaczy z firmy Kaspersky kluczową rolę odegrało również to, że nie uaktualniono na czas bazy danych rozwiązania bezpieczeństwa wykorzystywanego w atakowanych systemach, przez co ochrona nie była w stanie wykryć ani zablokować zagrożenia. Ponadto wyłączone zostały niektóre komponenty rozwiązania antywirusowego, co jeszcze bardziej obniżyło jakość zabezpieczeń.
Szczegóły dotyczące ataku sugerują, że atakujący dokładnie przeanalizowali infrastrukturę atakowanej organizacji i przygotowali własną infrastrukturę oraz zestaw narzędzi w oparciu o informacje zgromadzone na etapie rekonesansu. Na przykład serwer, z którego zostało pobrane oprogramowanie Cring służące do wymuszania okupu, miał włączoną infiltrację według adresu IP i odpowiadał jedynie na żądania z kilku państw europejskich. Cyberprzestępcze skrypty zamaskowały aktywność szkodliwego oprogramowania jako operację rozwiązania antywirusowego przedsiębiorstwa i zakończyły procesy wykonywane przez serwery bazodanowe (Microsoft SQL Server) oraz systemy kopii zapasowej (Veeam) wykorzystywane w systemach, które miały zostać zaszyfrowane. Z analizy aktywności przestępców wynika, że po przeprowadzeniu rekonesansu w sieci atakowanej organizacji zdecydowali się oni zaszyfrować te serwery, które w razie utraty w największym stopniu zaszkodziłyby operacjom przedsiębiorstwa – powiedział Wiaczesław Kopcjejew, ekspert z zespołu ICS CERT w firmie Kaspersky.