Новейший вирус-вымогатель Cring штурмует шлюзы VPN Fortinet — Bits Media

Создатель Николай Бондарчук Спецы «Лаборатории Касперского» выпустили отчет о новеньком вирусе-шифровальщике Cring, операторы которого употребляют уязвимость в старенькых версиях VPN-шлюзов Fortinet.

Операторы Cring употребляют уязвимость CME-2018-13379 в устройствах Fortinet SSL VPN для получения доступа к сети жертвы. Потом они при помощи измененной утилиты Mimikatz получают логины и пароли юзеров с административными льготами и заражают ИТ-инфраструктуру атакованной компании.

«В числе жертв новейшей вирусной кампании оказались и промышленные компании из Европы. Как минимум в одном случае инфецирование привело к временному прекращению производства, потому что серверы, применяемые на производстве, были зашифрованы вирусом», — сообщается в отчете.

Опосля получения доступа к серверу в атакованной компании злоумышленники при помощи Powershell-скрипта загружают сам вирус-шифровальщик Cring. Вирус отключает некие службы и закрывает приложения, чтоб снять блокировки файлов и вполне зашифровать данные на сервере. К примеру, он останавливает сервисы систем запасного копирования, также службы баз данных.

Для шифрования употребляются устойчивые к взлому методы RSA-8192 и AES-128. Опосля окончания процесса шифрования в директориях возникают файлы !!!!!readme.rtf и deReadMe!!!.txt с требованием выкупа. В файлах указывается, что «обыденный размер выкупа» составляет 2 BTC, но в случае инфецирования масштабной инфраструктуры размер выкупа возрастает.

Уязвимость CME-2018-13379 в устройствах Fortinet была закрыта еще в мае 2019 года. Представители компании призвали всех юзеров ее товаров немедленно обновить шлюзы, если это не было изготовлено ранее.

Не так давно сходу несколько американских институтов сказали о утечке индивидуальных и денежных данных в руки операторов вируса-шифровальщика Clop. Хакеры пользовались уязвимостью в решении передачи данных Accellion File Transfer Appliance.

Источник

Author: Zero