به گزارش کارگروه امنیت سایبربان؛ اوایل سال 2021 هکرها با استفاده از باج افزار کرینگ (Cring) حملاتی تدارک دیدند که از سوی محققان شرکت «Swisscom CSIRT» شناسایی شدند، اگرچه دقیقا مشخص نشد اپراتورهای باج افزار چگونه به شبکه سازمانها نفوذ کردهاند.
یافتههای تحقیقات کارشناسان کسپرسکی روی یکی از شرکتهای قربانی کرینگ نشان میدهد در این حملات هکرها از آسیبپذیری سرورهای ویپیان فورتیگیت (FortiGate VPN server) بهرهبرداری کردهاند.
در برخی از حملات مهاجمان با بهرهگیری از آسیبپذیری «CVE-2018-13379» سرورهای ویپیان فورتیگیت به شبکه شرکت دسترسی اولیه کسب کردهاند.
این آسیبپذیری که در سال 2019 برطرف شده به مهاجمان امکان میدهد به دستگاه متصل شده و از راه دور به فایلهای حاوی نام کاربری و پسورد دسترسی پیدا کنند. علیرغم رفع این آسیبپذیری، بسیاری از کاربران بهروزرسانیها را نصب نکردهاند.
مهاجمان پس از دسترسی به اولین سیستم در شبکه سازمانی با بهرهگیری از Mimikatz اطلاعات حسابهای کاربری کاربران ویندوز را که پیشتر وارد رایانه آلودهشدهاند جمعآوری کرده و اعتبارنامههای ادمین دامنه را سرقت کردهاند.
در ادامه هکرها چندین سیستم را که در فعالیت شرکت صنعتی نقش حیاتی داشته را انتخاب کرده و باج افزار کرینگ را در آنها نصبکردهاند.
ویچیسلاف کاپِیتسِف، کارشناس ارشد آزمایشگاه کسپرسکی در این خصوص میگوید:
جزئیات حمله نشان میدهد مهاجمان بهدقت زیرساخت سازمان هدف را بررسی کردهاند، سپس ابزارهای خود را متناسب با اطلاعات جمعآوریشده در مرحله جاسوسی آماده ساختهاند. بهعنوانمثال، اسکریپتهای مهاجمان فعالیت برنامه مخرب را در پوشش عملکرد یک آنتیویروس مورداستفاده در شرکت مخفی کرده و فرایندهای سرورهای پایگاه دادهها (Microsoft SQL Server) و سیستمهای پشتیبان گیری (Veeam) مورداستفاده در سیستمهای انتخابشده از سوی مهاجمان برای رمزگذاری را به پایان رساندهاند. تجزیهوتحلیل اقدامات مهاجمان نشان میدهد درنتیجه بررسی شبکه سازمان هدف جهت رمزگذاری سرورهایی انتخابشدهاند که قطع دسترسی به آنها به باور مهاجمان میتوانست بیشترین میزان خسارت را به فعالیت شرکت وارد کند.
