碾压赎金瓶通过两岁的虫子命中icic
在显然收购Fortinet的FortiGate VPN服务器的用户列表后,碾压贷款软件的运营商一直对工业目标和控制系统(IC)进行了一系列破坏性攻击VPN服务器谁没有打扰修补危险漏洞的用户。
首次识别并修复前段时间,CVE-2018-13379是FoltiOs操作系统的几个版本中的路径遍历漏洞,其可以通过制作特制HTTP资源请求来允许未经身份验证的攻击者下载系统文件。
第一次早先突出的赎金软件攻击的活动由Telco Swisscom的CSIRT提前突出显示,但ICS Cert团队在安全公司Kaspersky的事件调查现在已经发现了巡线到达其目标的手段。迄今为止的受害者大多是欧洲的工业企业 - 至少有一个案例,衡量造成了暂时关闭了一个现场生产网站。
vyacheslav Kopeytsev是卡巴斯基的ICS证书专家之一,表示,巡函帮派证明善于瞄准受害者。
“攻击的各种细节表明,攻击者仔细分析了目标组织的基础设施,并根据侦察阶段收集的信息编写了自己的基础设施和工具集,”他说。
“例如,下载巡逻ransomware的恶意软件的主机服务器已启用IP地址渗透,并且仅响应来自几个欧洲国家的请求。攻击者的脚本将恶意软件的活动伪装为企业的防病毒解决方案的操作,并终止由在为加密所选择的系统上使用的数据库服务器(Microsoft SQL Server)和备份系统(Veeam)执行的进程。
“对攻击者的活动的分析表明,根据攻击组织网络执行的侦察结果,他们选择加密攻击者认为会导致企业业务造成最大损害的那些服务器。”
卡巴斯基调查突出了及时修补的重要性,发现某人销售了一个现成的清单,其中包含面向互联网的弱势设备的IP地址,在2020年秋季的黑暗网上。使用此功能,攻击者能够通过Internet连接到易受攻击的设备,并远程访问包含清除文本中的用户名和密码的会话文件。
在注入巡航之前,该团伙对其目标VPN网关进行了测试连接,以确保被盗凭证仍然很好。然后,在获得对其受害者网络上的第一个系统的访问之后,他们使用Mimikatz开源实用程序获取管理员凭据,之后它们可以通过网络横向移动,增益控制ICS操作,并启动勒索软件。
卡巴斯基表示,攻击系统中使用的安全解决方案缺乏及时的数据库更新也在使网络犯罪分子更轻松地使防御和阻止威胁的抗辩成为一个关键作用。此外,在某些情况下,攻击组织已禁用防病毒解决方案的组件。
为了避免通过此方法将受害者降落到任何进一步的攻击,Kopeytsev建议了FortiGate用户:保持其VPN网关固件,以及端点保护和数据库,完全更新到最新版本;确保端点保护服务的所有模块都已打开;收紧活跃的主任政策;限制站点之间的VPN访问和不可操作所需的关闭端口;并采取通常的预防措施来保护赎金软件。
Kopeytsev的全部分析可以在卡巴斯基的ICS Cert网站上读取和下载并下载。
在美国网络安全和基础设施安全机构发布了联合咨询的情况下,该研究缺少了一周后,与FBI警告安全团队一起发布了堡垒FortioS漏洞,包括CVE-2018-13379,通过高级持久威胁(APT)团体。
该咨询说恶意演员正在利用这些漏洞,以获得对多元政府,商业和技术服务的初步访问。安全团队应该花点时间审查这里的更多信息和减轻。