Hackers comprometeram uma rede inteira com ransomware, que chegou a paralisar um processo industrial inteiro na Europa
No primeiro trimestre de 2021, agentes de ameaças conduziram uma série de ataques usando o ransomware Cring focados, sobretudo, em empresas industriais europeias. Uma investigação do incidente, conduzida por especialistas da Kaspersky ICS CERT, em uma das empresas atacadas, revelou que os ataques do ransomware Cring exploram uma vulnerabilidade nos servidores VPN Fortigate.
Os ataques foram mencionados em um tweet da Swisscom CSIRT, mas não havia ficado claro como o ransomware infecta a rede de uma organização. As vítimas desses ataques incluem empresas industriais em países europeus e, em pelo menos um caso, um ataque do ransomware resultou na paralisação temporária do processo industrial devido à criptografia dos servidores usados para controlar o processo industrial.
De acordo com os pesquisadores da Kaspersky, os invasores exploraram a vulnerabilidade CVE-2018-13379 para obter acesso à rede da empresa. A vulnerabilidade foi usada para extrair o arquivo de sessão do Gateway VPN. O arquivo da sessão contém informações valiosas, como o nome de usuário e a senha em texto simples.
Os dispositivos Fortigate são vulneráveis a um ataque de travessia de diretório, o que permite que um invasor acesse arquivos de sistema no dispositivo Fortigate SSL VPN. Segundo Vyacheslav Kopeytsev, Pesquisador Sênior de Segurança da Kaspersky, especificamente, um invasor não autenticado poderia se conectar ao dispositivo por meio da Internet e acessar remotamente o arquivo “sslvpn_websession”, que contém o nome de usuário e a senha armazenados em texto não criptografado.
Vários dias antes do início da fase principal do ataque, os invasores realizaram conexões de teste ao Gateway VPN, aparentemente para verificar se a versão vulnerável do software foi usada no dispositivo, diz Kopeytsev. Ele explica que os invasores podem ter identificado o dispositivo vulnerável por si próprios, verificando os endereços IP. Eles também podem ter comprado uma lista pronta contendo endereços IP de dispositivos vulneráveis Fortigate VPN Gateway, disponível na dark web em oferta descoberta em 2020.
A Fortinet lançou um patch de segurança para corrigir a vulnerabilidade no ano passado, mas os criminosos cibernéticos ainda podem implantar o exploit contra redes que ainda não aplicaram a atualização de segurança, segundo publicação do site ZDNet.
Depois de obter acesso ao primeiro sistema na rede corporativa, os invasores baixaram o utilitário Mimikatz, um aplicativo open code para visualizar e salvar as credenciais de autenticação. O utilitário foi usado para roubar as credenciais da conta de usuários do Windows que já haviam feito login no sistema comprometido.
Os invasores, então, foram capazes de comprometer a conta do administrador de domínio, depois que começaram a distribuir malware para outros sistemas na rede da organização. Eles usaram a estrutura Cobalt Strike para esse propósito – uma ferramenta de software de penetração legítima abusada por atacantes – para obter controle adicional sobre os sistemas infectados. O módulo Cobalt Strike foi carregado em sistemas atacados usando o script PowerShell.
Com a ajuda desse script, os invasores são capazes de criptografar todos os sistemas que foram comprometidos na rede com o ransomware Cring. Este é o momento em que o atacante diz à vítima que sua rede foi criptografada com ransomware e que um resgate deve ser pago em Bitcoin para restaurar a rede.
De acordo com os pesquisadores, a falha em aplicar o patch de segurança para proteger contra uma vulnerabilidade conhecida foi a “causa primária” do incidente da indústria que teve seus processos paralisados. A falta de atualizações de segurança oportunas aplicadas ao software antivírus também podem ter permitido que os invasores implantassem o ransomware. A maneira como essa rede em particular foi configurada também ajudou os invasores, permitindo que eles se movessem entre sistemas diferentes que nem todos precisavam estar em uma rede.
“Não havia restrições de acesso a diferentes sistemas. Em outras palavras, todos os usuários tinham permissão para acessar todos os sistemas. Essas configurações ajudam os invasores a distribuir malware na rede corporativa muito mais rapidamente, pois comprometer com sucesso apenas uma conta de usuário fornece acesso a eles para vários sistemas”, disse Kopeytsev.
Para ajudar a proteger as redes de ataques de ransomware Cring é recomendado que os servidores Fortigate VPN sejam corrigidos com as atualizações de segurança relevantes para evitar que a vulnerabilidade conhecida seja explorada. Os pesquisadores também recomendam que o acesso VPN seja restrito a quem precisa por motivos operacionais e que as portas que não precisam ser expostas à web aberta sejam fechadas. Além disso, o backup dos sistemas críticos deve ser feito off-line, portanto, se o pior acontecer e a rede for vítima de um ataque de ransomware, ela pode ser restaurada sem a necessidade de pagar aos criminosos.
Em comunicado à redação da Computerworld Brasil, a assessoria de imprensa da Fortinet Brasil informou:
“A segurança de nossos clientes é a nossa prioridade. Em maio de 2019, a Fortinet emitiu um aviso PSIRT sobre a vulnerabilidade SSL, que foi resolvida, e também comunicou diretamente os clientes e, novamente, por meio de postagens do blog corporativo em agosto de 2019 e julho de 2020, recomendando fortemente uma atualização. Continuamos a pedir aos clientes que implementem as atualizações e mitigações correspondentes. Para obter mais informações, por favor, visite nosso blog atualizado e consulte imediatamente o aviso de maio de 2019.”
