TeamQuest Blog

Ransomware uderza w firmy produkcyjne

Ransomware uderza w firmy produkcyjne

Marcin Sarna , 09.04.2021 r.

Łatanie softu w warunkach przemysłowych boli ale zamknięcie produkcji wskutek żądania okupu boli bardziej.

Dzisiejszy antybohater to Cring

Operatorzy ransomware zamknęli dwa zakłady produkcyjne należące do nieujawnionego europejskiego producenta po uprzednim zainstalowaniu oprogramowania, które szyfruje serwery kontrolujące procesy przemysłowe w tej firmie. O odkryciu poinformowali badacze z Kaspersky Lab.

Oprogramowanie ransomware znane jako Cring stało się znane opinii publicznej w styczniu tego roku. Przejmuje ono maszyny, wykorzystując od dawna załatane luki w sieciach VPN sprzedawanych przez Fortinet. Luka śledzona pod numerem CVE-2018-13379 umożliwia nieuwierzytelnionym atakującym uzyskanie pliku sesji, który zawiera nazwę użytkownika i hasło (zapisane w postaci zwykłego tekstu) do sieci VPN.

Metodologia działania czyli najpierw rozpoznanie

Operator Cring najpierw na żywo przeprowadza rozpoznanie i używa dostosowanej pod siebie wersji narzędzia Mimikatz, próbując wyodrębnić dane uwierzytelniające administratora domeny przechowywane w pamięci serwera. Następnie atakujący wykorzystują platformę Cobalt Strike do zainstalowania Cringa. Aby zamaskować trwający atak, hakerzy ukrywają pliki instalacyjne podszywając się pod oprogramowanie zabezpieczające firmy Kaspersky Lab lub innych dostawców.

Po zainstalowaniu, ransomware szyfruje dane za pomocą 256-bitowego szyfrowania AES i dodatkowo szyfruje sam klucz za pomocą klucza publicznego RSA-8192 zakodowanego na stałe w oprogramowaniu ransomware. Pozostawiona administratorom serwera notatka uprzejmie prosi o dwa bitcoiny w zamian za klucz AES, który odblokuje dane.

Kotlin Lead Developer 24000 - 28000 PLN

Praca zdalna
Aplikuj

IT Project Manager

Warszawa
Aplikuj

Java Full Stack Developer

Warszawa
Aplikuj

Front-end Developer

Praca zdalna
Aplikuj

Senior Ruby Developer

Praca zdalna
Aplikuj

Oberwali Niemcy, produkcję wstrzymano we Włoszech

W pierwszym kwartale tego roku Cring zainfekował inną ofiarę, niemiecką firmę, o czym także wiemy od ICS CERT z Kaspersky Lab. Infekcja rozprzestrzeniła się wówczas na serwer obsługujący bazy danych wymagane na linii produkcyjnej producenta. W rezultacie procesy zostały tymczasowo wstrzymane w dwóch zakładach zlokalizowanych we Włoszech, obsługiwanych przez niemieckiego producenta. Kaspersky Lab uważa, że przestoje trwały aż dwa dni. Vyacheslav Kopeytsev z Kaspersky Lab powiedział:

Różne szczegóły ataku wskazują, że atakujący dokładnie przeanalizowali infrastrukturę zaatakowanej organizacji i przygotowali własną infrastrukturę i zestaw narzędzi w oparciu o informacje zebrane na etapie rekonesansu. Analiza aktywności napastników pokazuje, że na podstawie wyników rozpoznania przeprowadzonego w sieci zaatakowanej organizacji zdecydowali się zaszyfrować te serwery, których utrata zdaniem atakujących spowodowałaby największe szkody w sieci zaatakowanej organizacji.

Firma poszkodowana incydentem ostatecznie odzyskała większość, ale nie wszystkie, dane które zostały zaszyfrowane przez ransomware, z kopii zapasowych. Ofiara nie zapłaciła żadnego okupu. Nie ma też doniesień o tym aby infekcja spowodowała szkody materialne (np. na taśmie produkcyjnej) lub generowała niebezpieczne warunki pracy.

Luka była wykorzystywana także wcześniej

Jeszcze w 2019 roku badacze zaobserwowali, że hakerzy aktywnie próbują wykorzystać krytyczną lukę w zabezpieczeniach FortiGate VPN. W tym czasie do Internetu było podłączonych około 480 000 podatnych urządzeń.

Sprawdź oferty pracy na TeamQuest

Fortinet w listopadzie 2020 roku informował z kolei, że wykrył „dużą liczbę” urządzeń VPN, które pozostały niezałatane względem CVE-2018-13379. Firma była świadoma, że adresy IP tych systemów są sprzedawane na podziemnych forach hakerskich oraz, że ludzie przeprowadzają skanowanie w całym Internecie, aby samodzielnie znaleźć niezałatane systemy.

Zaniedbania kosztują

Kopeytsev powiedział, że niemiecki producent zaniedbał zainstalowania aktualizacji antywirusowych i ograniczył dostęp do wrażliwych systemów tylko wybranym pracownikom.

Instalowanie poprawek i rekonfiguracja urządzeń w warunkach przemysłowych może być szczególnie kosztowna i trudna, ponieważ wiele z nich wymaga ciągłej pracy w celu utrzymania rentowności i dotrzymania harmonogramu zamówień. Rzeczywiście, całkowite zamknięcie linii montażowej czy produkcyjnej w celu zainstalowania i przetestowania aktualizacji zabezpieczeń lub wprowadzenia zmian w sieci może prowadzić do znaczących wydatków. Ale zachęcanie operatorów ransomware do samodzielnego zamykania procesów przemysłowych jest jeszcze gorszym scenariuszem.

Pamiętaj też, że backup to nie jest panaceum na całe ransomware’owe zło bo nie ochroni Cię przed ujawnieniem Twoich danych w sieci.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej