Une vulnérabilité affectant les VPN Fortinet est exploitée par une nouvelle souche de rançongiciel humaine connue sous le nom de Cring pour violer et chiffrer les réseaux des entreprises du secteur industriel.

Rançongiciel Cring (également connu sous le nom de Crypt3r, Vjiszy1lo, Ghost, Phantom) a été découvert par Amigo_A en janvier et repéré par l’équipe CSIRT du fournisseur de télécommunications suisse Swisscom.

Les opérateurs Cring déposent des échantillons Mimikatz personnalisés, suivis de CobaltStrike après avoir obtenu l’accès initial et déploient les charges utiles du ransomware en les téléchargeant à l’aide du gestionnaire de certificats Windows CertUtil légitime pour contourner le logiciel de sécurité.

Comme l’ont révélé les chercheurs de Kaspersky dans un rapport publié aujourd’hui, les attaquants exploitent les serveurs VPN SSL Fortigate exposés à Internet sans correction contre la vulnérabilité CVE-2018-13379, ce qui leur permet de violer le réseau de leurs cibles.

« Les victimes de ces attaques comprennent des entreprises industrielles dans les pays européens », ont déclaré les chercheurs de Kaspersky.

« Au moins dans un cas, une attaque du ransomware a entraîné un arrêt temporaire du processus industriel en raison du chiffrement des serveurs utilisés pour contrôler le processus industriel. »

Attaques de ransomwares Cring

À partir de l’appliance VPN Fortinet, les opérateurs Cring se déplacent latéralement sur le réseau d’entreprise des cibles en volant les informations d’identification des utilisateurs Windows à l’aide de Mimikatz pour prendre le contrôle du compte d’administrateur de domaine.

Les charges utiles du ransomware sont ensuite livrées aux appareils sur les réseaux des victimes à l’aide du framework d’émulation de menace Cobalt Strike déployé à l’aide d’un script PowerShell malveillant.

Flux d'attaque du ransomware Cring
Flux d’attaque du rançongiciel Cring (Kaspersky)

Le ransomware crypte uniquement des fichiers spécifiques sur les appareils compromis à l’aide d’algorithmes de cryptage puissants (RSA-8192 + AES-128) après avoir supprimé les fichiers de sauvegarde et tué les processus Microsoft Office et Oracle Database.

Il laisse ensuite tomber les notes de rançon nommées !!!!! readme.rtf et deReadMe !!!. Txt avertissant les victimes …

Voir la source de cette publication