Łatanie softu w warunkach przemysłowych boli ale zamknięcie produkcji wskutek żądania okupu boli bardziej.

Dzisiejszy antybohater to Cring

Operatorzy ransomware zamknęli dwa zakłady produkcyjne należące do nieujawnionego europejskiego producenta po uprzednim zainstalowaniu oprogramowania, które szyfruje serwery kontrolujące procesy przemysłowe w tej firmie. O odkryciu poinformowali badacze z Kaspersky Lab.

Oprogramowanie ransomware znane jako Cring stało się znane opinii publicznej w styczniu tego roku. Przejmuje ono maszyny, wykorzystując od dawna załatane luki w sieciach VPN sprzedawanych przez Fortinet. Luka śledzona pod numerem CVE-2018-13379 umożliwia nieuwierzytelnionym atakującym uzyskanie pliku sesji, który zawiera nazwę użytkownika i hasło (zapisane w postaci zwykłego tekstu) do sieci VPN.

Metodologia działania czyli najpierw rozpoznanie

Operator Cring najpierw na żywo przeprowadza rozpoznanie i używa dostosowanej pod siebie wersji narzędzia Mimikatz, próbując wyodrębnić dane uwierzytelniające administratora domeny przechowywane w pamięci serwera. Następnie atakujący wykorzystują platformę Cobalt Strike do zainstalowania Cringa. Aby zamaskować trwający atak, hakerzy ukrywają pliki instalacyjne podszywając się pod oprogramowanie zabezpieczające firmy Kaspersky Lab lub innych dostawców.

Po zainstalowaniu, ransomware szyfruje dane za pomocą 256-bitowego szyfrowania AES i dodatkowo szyfruje sam klucz za pomocą klucza publicznego RSA-8192 zakodowanego na stałe w oprogramowaniu ransomware. Pozostawiona administratorom serwera notatka uprzejmie prosi o dwa bitcoiny w zamian za klucz AES, który odblokuje dane.

Oberwali Niemcy, produkcję wstrzymano we Włoszech

W pierwszym kwartale tego roku Cring zainfekował inną ofiarę, niemiecką firmę, o czym także wiemy od ICS CERT z Kaspersky Lab. Infekcja rozprzestrzeniła się wówczas na serwer obsługujący bazy danych wymagane na linii produkcyjnej producenta. W rezultacie procesy zostały tymczasowo wstrzymane w dwóch zakładach zlokalizowanych we Włoszech, obsługiwanych przez niemieckiego producenta. Kaspersky Lab uważa, że przestoje trwały aż dwa dni. Vyacheslav Kopeytsev z Kaspersky Lab powiedział:

Różne szczegóły ataku wskazują, że atakujący dokładnie przeanalizowali infrastrukturę zaatakowanej organizacji i przygotowali własną infrastrukturę i zestaw narzędzi w oparciu o informacje zebrane na etapie rekonesansu. Analiza aktywności napastników pokazuje, że na podstawie wyników rozpoznania przeprowadzonego w sieci zaatakowanej organizacji zdecydowali się zaszyfrować te serwery, których utrata zdaniem atakujących spowodowałaby największe szkody w sieci zaatakowanej organizacji.

Firma poszkodowana incydentem ostatecznie odzyskała większość, ale nie wszystkie, dane które zostały zaszyfrowane przez ransomware, z kopii zapasowych. Ofiara nie zapłaciła żadnego okupu. Nie ma też doniesień o tym aby infekcja spowodowała szkody materialne (np. na taśmie produkcyjnej) lub generowała niebezpieczne warunki pracy.

Luka była wykorzystywana także wcześniej

Jeszcze w 2019 roku badacze zaobserwowali, że hakerzy aktywnie próbują wykorzystać krytyczną lukę w zabezpieczeniach FortiGate VPN. W tym czasie do Internetu było podłączonych około 480 000 podatnych urządzeń.

Sprawdź oferty pracy na TeamQuest

Fortinet w listopadzie 2020 roku informował z kolei, że wykrył „dużą liczbę” urządzeń VPN, które pozostały niezałatane względem CVE-2018-13379. Firma była świadoma, że adresy IP tych systemów są sprzedawane na podziemnych forach hakerskich oraz, że ludzie przeprowadzają skanowanie w całym Internecie, aby samodzielnie znaleźć niezałatane systemy.

Zaniedbania kosztują

Kopeytsev powiedział, że niemiecki producent zaniedbał zainstalowania aktualizacji antywirusowych i ograniczył dostęp do wrażliwych systemów tylko wybranym pracownikom.

Instalowanie poprawek i rekonfiguracja urządzeń w warunkach przemysłowych może być szczególnie kosztowna i trudna, ponieważ wiele z nich wymaga ciągłej pracy w celu utrzymania rentowności i dotrzymania harmonogramu zamówień. Rzeczywiście, całkowite zamknięcie linii montażowej czy produkcyjnej w celu zainstalowania i przetestowania aktualizacji zabezpieczeń lub wprowadzenia zmian w sieci może prowadzić do znaczących wydatków. Ale zachęcanie operatorów ransomware do samodzielnego zamykania procesów przemysłowych jest jeszcze gorszym scenariuszem.

Pamiętaj też, że backup to nie jest panaceum na całe ransomware’owe zło bo nie ochroni Cię przed ujawnieniem Twoich danych w sieci.