Cómo una vulnerabilidad de VPN permitió que el ransomware interrumpiera dos instalaciones de fabricación

imágenes falsas

Los operadores de ransomware cerraron dos instalaciones de fabricación de un fabricante europeo después de implementar un tronco relativamente nuevo que cifra los servidores que controlan los procesos industriales del fabricante, dijo el miércoles un investigador de Kaspersky Lab.

El ransomware conocido como Cring se hizo de conocimiento público en una publicación de blog en enero. Recurre a las redes explotando vulnerabilidades de parches largos en las VPN vendidas por Fortinet. La vulnerabilidad de transferencia de directorio registrada como CVE-2018-13379 podría permitir que atacantes no autenticados obtengan un archivo de sesión que contenga el nombre de usuario y la contraseña de texto sin cifrar para la VPN.

Para un hogar inicial, un operador de cring en vivo realiza un reconocimiento y utiliza una versión personalizada de la herramienta Mimikatz para extraer las credenciales de administrador de dominio almacenadas en el almacenamiento del servidor. En última instancia, los atacantes utilizan el marco Cobalt Strike para instalar Cring. Para enmascarar el ataque en curso, los piratas informáticos disfrazan los archivos de instalación como software de seguridad de Kaspersky Lab u otros proveedores.

Una vez instalado, el ransomware bloquea los datos mediante el cifrado AES de 256 bits y cifra la clave mediante una clave pública RSA-8192, que está codificada en el ransomware. Una nota que se deja atrás requiere dos bitcoins a cambio de la clave AES que se usa para desbloquear los datos.

Más por el dinero

En el primer trimestre de este año, Cring infectó a un fabricante anónimo en Alemania, Vyacheslav Kopeytsev, miembro del equipo ICS CERT de Kaspersky Lab, en un correo electrónico. La infección se propagó a un servidor que albergaba las bases de datos necesarias para la línea de producción del fabricante. Como resultado, los procesos en dos de las plantas operadas por el fabricante en Italia se suspendieron temporalmente. Kaspersky Lab cree que los cierres duraron dos días.

«Varios detalles del ataque indican que los atacantes analizaron cuidadosamente la infraestructura de la organización atacada y prepararon su propia infraestructura y su propio conjunto de herramientas basándose en la información recopilada durante la fase de investigación», escribió Kopeytsev en una publicación de blog. Continuó: “Un análisis de las actividades de los atacantes muestra que, basándose en la inteligencia realizada en la red de la organización atacada, decidieron cifrar los servidores que los atacantes creían que causarían el mayor daño al negocio de la empresa si se perdían. «

Los respondedores de incidentes finalmente restauraron la mayoría, pero no todos, los datos cifrados de las copias de seguridad. La víctima no pagó rescate. No ha habido informes de infecciones que causen condiciones peligrosas o inseguras.

Haciendo caso omiso de los sabios consejos

En 2019, los investigadores observaron a los piratas informáticos que intentaron activamente explotar la vulnerabilidad crítica en FortiGate VPN. En ese momento, alrededor de 480.000 dispositivos estaban conectados a Internet. La semana pasada, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad anunciaron que CVE-2018-13379 era una de las varias vulnerabilidades de FortiGate VPN que probablemente se explotarán activamente para futuros ataques.

Fortinet anunció en noviembre que había descubierto una «gran cantidad» de dispositivos VPN que no habían sido parcheados contra CVE-2018-13379. Según el informe, los empleados de la empresa estaban al tanto de los informes de que las direcciones IP de estos sistemas se vendían en foros clandestinos de delitos o de que las personas realizaban exploraciones en Internet para encontrar sistemas sin parches.

Kopeytsev no solo no instaló actualizaciones, sino que tampoco instaló actualizaciones antivirus y restringió el acceso a sistemas confidenciales solo a empleados seleccionados.

No es la primera vez que el malware interrumpe un proceso de fabricación. En 2019 y el año pasado, Honda dejó de producir después de ser infectado por el ransomware WannaCry y un malware desconocido. Uno de los productores de aluminio más grandes del mundo, Norsk Hydro de Noruega, se vio afectado por un ataque de ransomware en 2019 que cerró su red global, detuvo o interrumpió las instalaciones y provocó que el personal de TI restableciera las operaciones a la normalidad.

Parchear y reconfigurar dispositivos en entornos industriales puede ser especialmente costoso y difícil, ya que muchos de ellos requieren un funcionamiento constante para mantener la rentabilidad y cumplir con el cronograma. Cerrar una línea de montaje para instalar y probar una actualización de seguridad o realizar cambios en una red puede generar costos reales que no son triviales. Por supuesto, hacer que los operadores de ransomware cierren un proceso industrial por su cuenta es un escenario aún peor.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí