شناسایی حملات بدافزار Cring

به گزارش کارگروه امنیت سایبربان؛ اوایل سال 2021 هکرها با استفاده از باج افزار کرینگ (Cring) حملاتی تدارک دیدند که از سوی محققان شرکت «Swisscom CSIRT» شناسایی شدند، اگرچه دقیقا مشخص نشد اپراتورهای باج افزار چگونه به شبکه سازمان‌ها نفوذ کرده‌اند. 

یافته‌های تحقیقات کارشناسان کسپرسکی روی یکی از شرکت‌های قربانی کرینگ نشان می‌دهد در این حملات هکرها از آسیب‌پذیری سرورهای وی‌پی‌ان فورتی‌گیت (FortiGate VPN server) بهره‌برداری کرده‌اند. 

در برخی از حملات مهاجمان با بهره‌گیری از آسیب‌پذیری «CVE-2018-13379» سرورهای وی‌پی‌ان فورتیگیت به شبکه شرکت دسترسی اولیه کسب کرده‌اند. 

این آسیب‌پذیری که در سال 2019 برطرف شده ‌به مهاجمان امکان می‌دهد به دستگاه متصل شده و از راه دور به فایل‌های حاوی نام کاربری و پسورد دسترسی پیدا کنند. علیرغم رفع این آسیب‌پذیری، بسیاری از کاربران به‌روزرسانی‌ها را نصب نکرده‌اند. 

مهاجمان پس از دسترسی به اولین سیستم در شبکه سازمانی با بهره‌گیری از Mimikatz اطلاعات حساب‌های کاربری کاربران ویندوز را که پیش‌تر وارد رایانه آلوده‌شده‌اند جمع‌آوری کرده و اعتبارنامه‌های ادمین دامنه را سرقت کرده‌اند. 

در ادامه هکرها چندین سیستم را که در فعالیت شرکت صنعتی نقش حیاتی داشته را انتخاب کرده و باج افزار کرینگ را در آن‌ها نصب‌کرده‌اند. 

ویچیسلاف کاپِیتسِف، کارشناس ارشد آزمایشگاه کسپرسکی در این خصوص می‌گوید:

جزئیات حمله نشان می‌دهد مهاجمان به‌دقت زیرساخت سازمان هدف را بررسی کرده‌اند، سپس ابزارهای خود را متناسب با اطلاعات جمع‌آوری‌شده در مرحله جاسوسی آماده ساخته‌اند. به‌عنوان‌مثال، اسکریپت‌های مهاجمان فعالیت برنامه مخرب را در پوشش عملکرد یک آنتی‌ویروس مورداستفاده در شرکت مخفی کرده و فرایندهای سرورهای پایگاه داده‌ها (Microsoft SQL Server) و سیستم‌های پشتیبان گیری (Veeam) مورداستفاده در سیستم‌های انتخاب‌شده از سوی مهاجمان برای رمزگذاری را به پایان رسانده‌اند. تجزیه‌وتحلیل اقدامات مهاجمان نشان می‌دهد درنتیجه بررسی شبکه سازمان هدف جهت رمزگذاری سرورهایی انتخاب‌شده‌اند که قطع دسترسی به آن‌ها به باور مهاجمان می‌توانست بیشترین میزان خسارت را به فعالیت شرکت وارد کند.