在部署一个相对较新的压力之后,赎金软件运算符关闭了一个属于欧洲制造商的生产设施,即在Kaspersky Lab的一名研究员,加密的加密服务器的加密服务器和第39位工业流程的加密服务器。
被称为ring的赎金瓶在1月博客帖子中发出公众关注。它通过利用Fortinet销售的VPN中的长期修补漏洞来掌握网络。追踪为CVE-2018-13379,目录横向漏洞允许未经身份验证的攻击者获取包含VPN的用户名和纯密码的会话文件。
使用初始追逐次数,一个现场巡航运算符执行侦察,并使用Mimikatz工具的自定义版本,以尝试提取存储在服务器内存中的域管理员凭据。最终,攻击者使用Cobalt Strike框架来安装Cring。要屏蔽进入攻击,黑客伪装了来自卡巴斯基实验室或其他提供商的安全软件。
一旦安装,Ransomware将使用256位AES加密锁定数据,并使用已硬编码的RSA-8192公钥加密密钥。留下的一个注释需要两个比特币以换取将解锁数据的AES密钥。
在今年的第一季度,Cring感染了德国未命名的制造商,Vyacheslav Kopeytsev,卡巴斯基实验室的ICS Cert团队成员在一封电子邮件中表示。感染传播到制造商生产线所需的服务器托管数据库。因此,过程暂时关闭了制造商运营的基于意大利的两种设施的内部。卡巴斯基实验室认为停机持续了两天。
“攻击的各种细节表明,攻击者仔细分析了攻击组织的基础设施,并根据在侦察阶段收集的信息编写了自己的基础架构和工具集,”Kopeytsev在博客文章中写道。他继续说说,“对攻击者的活动分析表明,根据对攻击组织的网络进行侦察的结果,他们选择加密那些服务器的丧失攻击者会导致最大的侵害企业的运营。“
事件响应者最终恢复最多,但不是来自备份的所有加密数据。受害者没有支付任何赎金。没有报道感染造成伤害或不安全的条件。
2019年,研究人员观察了黑客积极尝试利用关键的FortiGe VPN漏洞。当时大约480,000个设备连接到互联网。上周,联邦调查局和网络安全和基础设施安全机构表示,CVE-2018-13379是FortiGate VPN漏洞之一,可能在未来的攻击中的主动开发。 Fortinet于11月份表示,它检测到一个“大量”的VPN设备,该设备仍然没有针对CVE-2018-13379。该咨询还表示,公司官员了解这些系统的IP地址在地下犯罪论坛上销售,或者人们正在执行互联网广播扫描,以找到未被划分的系统。
除了未能安装更新之外,Kopeytsev表示德国的制造商也忽略了安装防病毒更新并限制对敏感系统的访问,仅选择员工。
这不是Mallware制造过程中第一次。 2019年,去年再次Honda被Wannacry Ransomware和一块未知的恶意软件感染后停止制造。挪威的世界上最大的铝生产商之一是2019年的赎金软件攻击受到赎金软件攻击的袭击,关闭了其全球网络,停止或中断了植物,并将工人争抢返回正常运营。修补和重新配置工业环境中的设备可以特别昂贵且困难,因为其中许多需要持续运行以维持盈利能力并保持按时。关闭装配线以安装和测试安全更新或对网络进行更改可能导致无激动人心的实际费用。当然,让勒索沃版运营商自己关闭工业过程是更具可怕的情景。