Un’indagine sugli incidenti di sicurezza condotta dagli esperti di Kaspersky ICS CERT ha rivelato una serie di attacchi legati al ransomware Cring che, sfruttando una vulnerabilità (già nota dal 2018 e patchata nel 2019) nei server VPN di Fortigate, hanno colpito in Europa diverse imprese industriali provocando spesso interruzioni temporanee nei relativi processi di produzione.
Già a inizio di quest’anno il CSIRT Svizzero aveva fornito dei riscontri in un tweet in merito alla campagna malevola.
Ransomware Cring: la vulnerabilità sfruttata
Gli attaccanti, sfruttando tale vulnerabilità (CVE-2018-13379) per ottenere l’accesso alla rete aziendale del target, sarebbero così riusciti a estrarre il file di sessione del gateway VPN. Questa falla di sicurezza, infatti, potrebbe consentire ad un utente malintenzionato non autenticato di accedere al file system dei dispositivi Fortigate VPN attraverso internet e connettersi da remoto al file “sslvpn_websession” per rubare le credenziali di accesso memorizzate in chiaro.
Secondo altre indiscrezioni riportate dai ricercatori, gli attacchi principali sarebbero mirati e per tale motivo anticipati da una fase di ricognizione e i responsabili potrebbero anche aver acquisito gli elenchi degli indirizzi IP associati ai dispositivi Fortigate VPN Gateway vulnerabili attraverso lo smercio sui forum underground.
La catena d’infezione del ransomware Cring
Secondo la ricostruzione riportata dai ricercatori di sicurezza, dopo aver ottenuto l’accesso al primo sistema sulla rete aziendale, grazie al bug VPN, gli intrusi hanno scaricato l’utilità open source “Mimikatz” per rubare le credenziali account degli utenti Windows (amministratori di dominio) che avevano precedentemente effettuato l’accesso al sistema compromesso.
Successivamente, in possesso di queste credenziali, gli attaccanti hanno iniziato la distribuzione del malware ad altri sistemi sulla rete interna dell’organizzazione, caricando da un server di comando e controllo C2 (198.12.112 [.] 204) il noto modulo del framework di simulazione delle intrusioni “Cobalt Strike” attraverso degli script PowerShell.
La backdoor Cobalt Strike Beacon, fornendo il controllo remoto del sistema infetto, ha in ultima istanza permesso agli aggressori l’installazione del payload su ogni sistema della rete, procedendo alla crittografia dei file locali.
In particolare, il ransomware Cring viene scaricato in locale su //127.0.0.1/C$/_output tramite uno script denominato execute.bat (salvato tra i file temporanei di Microsoft Windows) prelevando il carico utile dal server di hosting raggiungibile all’indirizzo http: //45.67.231 [.] 128 /.
L’algoritmo crittografico usato dal ransomware Cring
Prima di crittografare i file locali, il ransomware Cring crea uno script kill.bat sull’unità locale e procede a:
- interrompere i seguenti servizi per eliminare ogni attività di ostacolo:
- Veritas NetBackup; servizio di avvio di Bare Metal Restore (NetBackup BMR MTFTP);
- Server Microsoft SQL: SQLTELEMETRY, SQLTELEMETRY $ ECWDB2, SQLWriter;
- SstpSvc, servizio utilizzato per creare connessioni VPN. Molto probabilmente ciò è stato fatto per impedire agli amministratori di sistema di collegarsi da remoto e fornire una risposta tempestiva all’incidente di sicurezza;
- Microsoft Office: mspub.exe;
- Software Oracle Database: mydesktopqos.exe, mydesktopservice.exe
- rimuovere eventuali file di backup con nomi che riportano i termini “Backup” o “backup” o aventi estensioni .VHD, .bac, .bak, .wbcat, .bkf, .set, .win e .dsk.
Solo successivamente ha inizio la cifratura dei file con le estensioni indicate di seguito impiegando lo standard avanzato AES con chiave di crittografica a sua volta crittografata con una chiave pubblica RSA hardcoded (dimensione 8.192 bit):
- .vhdx (disco rigido virtuale)
- .ndf (database secondario di Microsoft SQL Server)
- .wk (foglio di calcolo Lotus 1-2-3)
- .xlsx (foglio di calcolo Microsoft Excel)
- .txt (documento di testo)
- .doc (documento Microsoft Word)
- .docx (documento Microsoft Word)
- .xls (foglio di calcolo Microsoft Excel)
- .mdb (database di Microsoft Access)
- .mdf (immagine disco)
- .sql (query SQL salvata)
- .bak (file di backup)
- .ora (database Oracle)
- .pdf (documento PDF)
- .ppt (presentazione Microsoft PowerPoint)
- .pptx (presentazione Microsoft PowerPoint)
- .dbf (file di gestione del database dBASE)
- .zip (archivio)
- .rar (archivio)
- .aspx (pagina Web ASP.NET)
- .php (pagina web PHP)
- .jsp (pagina web Java)
- .bkf (backup creato da Microsoft Windows Backup Utility)
- .csv (foglio di calcolo Microsoft Excel)
Infine il ransomware Cring rilascia la richiesta di riscatto in un documento testuale !!!! WrReadMe !!!. Rtf:
Conclusioni
Come già accennato, sono state diverse le evidenze che, secondo i ricercatori Kaspersky, portano a ritenere che gli aggressori abbiano analizzato attentamente le infrastrutture delle organizzazioni prima di attaccarle, allestendo un piano ad hoc sulla base delle informazioni raccolte nella fase di ricognizione e per causare il maggior danno possibile.
Poiché diverse possono essere anche le cause responsabili di questi tipi d’incidenti di sicurezza tra cui:
- l’uso di versioni firmware obsolete e vulnerabile sui server VPN;
- la mancanza di soluzioni di sicurezza adeguatamente aggiornate;
- errate impostazioni dei privilegi di dominio e dei parametri di accesso tramite protocollo RDP.
Alfine di non incappare in trappole ransomware del genere, risulta altamente raccomandabile:
- aggiornare il software e l’hardware delle VPN in uso e le soluzioni antimalware alle versioni più recenti;
- limitare gli accessi VPN tra le strutture;
- imporre restrizioni più stringenti nei criteri di dominio delle Active Directory;
- pianificare una strategia di backup adeguato ad ogni sistema critico, verificando regolarmente l’integrità delle copie di ripristino e le configurazioni di sistema.
