Uma vulnerabilidade que afeta VPNs da Fortinet está sendo explorada por uma nova cepa de ransomware operada por humanos, o Cring, que viola e criptografa redes de empresas do setor industrial. De acordo com o BleepingComputer, o ransomware Cring, também conhecido como Crypt3r, Vjiszy1lo, Ghost e Phantom, foi descoberto em janeiro e detectado pela equipe CSIRT do provedor de telecomunicações suíço Swisscom.
Relatório da Kaspersky revelou que os invasores têm explorado servidores Fortigate SSL VPN expostos à Internet e não corrigidos contra a vulnerabilidade CVE-2018-13379, permitindo a violação da rede de seus alvos.
A partir do dispositivo Fortinet VPN, os operadores Cring movem-se lateralmente na rede corporativa de destino, roubando credenciais de usuário do Windows, usando Mimikatz para obter o controle da conta do administrador de domínio.
As cargas úteis do ransomware são entregues aos dispositivos nas redes das vítimas usando a estrutura de emulação de ameaças Cobalt Strike implantada por meio de um script PowerShell malicioso.
O ransomware criptografa apenas arquivos específicos nos dispositivos comprometidos usando algoritmos de criptografia robustos após remover os arquivos de backup e eliminar os processos do Microsoft Office e do Oracle Database. Em seguida, ele envia notas de resgate avisando as vítimas de que sua rede foi criptografada e que elas precisam pagar o resgate.
As vítimas têm usado o serviço ID-Ransomware para verificar se seus sistemas foram atingidos pelo ransomware Cring desde que a operação apareceu pela primeira vez, em dezembro de 2020. Desde o final de janeiro, 30 amostras de ransomware Cring foram enviadas até o momento, diz o BleepingComputer.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.