Новости и события » Общество » Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах

Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах

Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах

Эксперты Kaspersky ICS CERT провели расследование серии атак с использованием вируса-шифровальщика Cring. Среди жертв оказались промышленные предприятия в странах Европы, у которых хакеры вымогали биткоины.

Атаки произошли в начале 2021 года и по крайней мере в одном случае привели к временной остановке производства на двух итальянских заводах международного промышленного холдинга с головным офисом в Германии.

Исследователи выяснили, что для проникновения в систему шифровальщик Cring использовал уязвимость в VPN-серверах Fortigate. Она позволяет злоумышленнику без аутентификации подключиться к устройству и удаленно получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде.

Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в даркнете начали появляться предложения о покупке базы IP-адресов уязвимых устройств.

Получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учетных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. С ее помощью злоумышленникам удалось похитить учетные данные доменного администратора.

Затем хакеры выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и запустили на них шифровальщик Cring.

Схема атаки. Данные: Лаборатория Касперского.

За восстановление доступа к зашифрованным серверам операторы вредоноса потребовали выкуп в размере 2 BTC.

Сообщение с требованием выкупа. Данные: Лаборатория Касперского.

Различные детали атаки указывают, что злоумышленники тщательно изучили инфраструктуру атакуемой организации.

"Скрипты злоумышленников маскировали активность вредоносного ПО под работу защитного решения, используемого на предприятии, и завершали процессы серверов баз данных (Microsoft SQL Server) и систем резервного копирования (Veeam), используемых на системах, которые были выбраны для шифрования", - добавили в Kaspersky ICS CERT.

Для предотвращения атак специалисты компании рекомендуют своевременно обновлять антивирусные базы и программные модули защитных решений, используемых на устройствах.

Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах

Вымогатели биткоинов атаковали промышленные объекты через уязвимость в VPN-серверах

Microsoft


В Нидерландах опубликовали записи переговоров Гиркина и...

В Нидерландах опубликовали записи переговоров Гиркина и команды в день крушения МН17 (ВИДЕО)

Нидерландская телерадиокомпания NOS опубликовала новые записи разговоров боевиков ОРДО перед и после того, как российский "Бук" сбил малазийский "Боинг" МН17 17 июля 2014 года. Эта информация была звучена в программе Nieuwsuur на подробнее ...


загрузка...


загрузка...

Актуальные новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх