Các thiết bị Fortinet VPN chưa được vá lỗi đang là mục tiêu của một loạt các cuộc tấn công nhằm vào các doanh nghiệp công nghiệp ở châu Âu để triển khai một loại ransomware mới có tên “Cring” bên trong các mạng công ty.
Công ty an ninh mạng Kaspersky cho biết trong một báo cáo được công bố hôm thứ Tư, ít nhất một trong những sự cố hack đã dẫn đến việc đóng cửa tạm thời của một trang web sản xuất, công ty an ninh mạng Kaspersky cho biết trong một báo cáo được công bố hôm thứ Tư, mà không công khai danh tính nạn nhân.
Các cuộc tấn công xảy ra vào quý đầu tiên của năm 2021, giữa tháng Giêng và tháng Ba.
“Các chi tiết khác nhau của cuộc tấn công chỉ ra rằng những kẻ tấn công đã phân tích kỹ lưỡng cơ sở hạ tầng của tổ chức được nhắm mục tiêu và chuẩn bị cơ sở hạ tầng và bộ công cụ của riêng họ dựa trên thông tin thu thập được ở giai đoạn do thám,” nói Vyacheslav Kopeytsev, một nhà nghiên cứu bảo mật tại Kaspersky ICS CERT.
Tiết lộ được đưa ra vài ngày sau khi Cục Điều tra Liên bang (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cảnh báo của các tác nhân đe dọa liên tục nâng cao (APT) tích cực quét các thiết bị Fortinet SSL VPN dễ bị tấn công bởi CVE-2018-13379, trong số các thiết bị khác.
Cơ quan này cho biết: “Các tác nhân APT có thể sử dụng các lỗ hổng này hoặc các kỹ thuật khai thác phổ biến khác để có được quyền truy cập ban đầu vào nhiều dịch vụ chính phủ, thương mại và công nghệ. Có được quyền truy cập ban đầu để xác định vị trí của các tác nhân APT để tiến hành các cuộc tấn công trong tương lai”.
CVE-2018-13379 liên quan đến lỗ hổng truyền qua đường dẫn trong cổng web FortiOS SSL VPN, cho phép những kẻ tấn công chưa được xác thực đọc các tệp hệ thống tùy ý, bao gồm tệp phiên chứa tên người dùng và mật khẩu được lưu trữ trong bản rõ.
Mặc dù các bản vá cho lỗ hổng bảo mật đã được phát hành trong Tháng 5 năm 2019, Fortinet cho biết vào tháng 11 năm ngoái rằng họ đã xác định một “số lượng lớn“của các thiết bị VPN vẫn chưa được vá lỗi, đồng thời cảnh báo rằng địa chỉ IP của các thiết bị dễ bị tấn công internet đó đang được bán trên dark web.
Các cuộc tấn công nhằm vào các doanh nghiệp châu Âu cũng không khác gì, theo phản hồi sự cố của Kaspersky, cho thấy việc triển khai Cring ransomware liên quan đến việc khai thác CVE-2018-13379 để truy cập vào các mạng mục tiêu.
Các nhà nghiên cứu của Kaspersky cho biết: “Một thời gian trước giai đoạn chính của hoạt động, những kẻ tấn công đã thực hiện các kết nối thử nghiệm với Cổng VPN, dường như để đảm bảo rằng thông tin đăng nhập của người dùng bị đánh cắp cho VPN vẫn còn hợp lệ”.
Sau khi giành được quyền truy cập, những kẻ thù được cho là đã sử dụng tiện ích Mimikatz để lấy thông tin đăng nhập tài khoản của những người dùng Windows trước đó đã đăng nhập vào hệ thống bị xâm nhập, sau đó sử dụng chúng để đột nhập vào tài khoản quản trị viên miền, di chuyển ngang qua mạng và cuối cùng triển khai Cring ransomware trên từng máy từ xa bằng cách sử dụng khuôn khổ Cobalt Strike.
Cring, một chủng mới được quan sát lần đầu tiên vào tháng 1 năm 2021 bởi nhà cung cấp viễn thông Swisscom, mã hóa các tệp cụ thể trên thiết bị bằng các thuật toán mã hóa mạnh sau khi xóa dấu vết của tất cả các tệp sao lưu và chấm dứt các quy trình Cơ sở dữ liệu Microsoft Office và Oracle. Sau khi mã hóa thành công, nó đưa ra một thông báo tiền chuộc yêu cầu thanh toán hai bitcoin.
Hơn nữa, kẻ đe dọa đã cẩn thận che giấu hoạt động của chúng bằng cách ngụy trang các đoạn mã PowerShell độc hại dưới tên “kaspersky” để tránh bị phát hiện và đảm bảo rằng máy chủ lưu trữ phần mềm tống tiền ransomware chỉ phản hồi các yêu cầu đến từ các quốc gia châu Âu.
“Một phân tích về hoạt động của những kẻ tấn công cho thấy rằng, dựa trên kết quả do thám được thực hiện trên mạng của tổ chức bị tấn công, họ đã chọn mã hóa những máy chủ mà những kẻ tấn công tin rằng sẽ gây ra thiệt hại lớn nhất cho hoạt động của doanh nghiệp nếu bị mất”, Kopeytsev nói.
