imágenes falsas
Los operadores de ransomware cerraron dos instalaciones de producción pertenecientes a un fabricante europeo después de implementar una cepa relativamente nueva que cifraba los servidores que controlaban los procesos industriales de un fabricante, dijo el miércoles un investigador de Kaspersky Lab.
El ransomware, conocido como Cring, llamó la atención del público en una publicación de blog de enero. Se apodera de las redes al explotar vulnerabilidades con parches prolongados en las VPN vendidas por Fortinet. Rastreada como CVE-2023-13379, la vulnerabilidad transversal del directorio permite a los atacantes no autenticados obtener un archivo de sesión que contiene el nombre de usuario y la contraseña de texto sin formato para la VPN.
Con un punto de apoyo inicial, un operador de Cring en vivo realiza un reconocimiento y utiliza una versión personalizada de la herramienta Mimikatz en un intento de extraer las credenciales del administrador del dominio almacenadas en la memoria del servidor. Eventualmente, los atacantes usan el marco Cobalt Strike para instalar Cring. Para enmascarar el ataque en curso, los piratas disfrazan los archivos de instalación como software de seguridad de Kaspersky Lab o de otros proveedores.
Una vez instalado, el ransomware bloquea los datos mediante el cifrado AES de 256 bits y cifra la clave mediante una clave pública RSA-8192 codificada en el ransomware. Una nota dejada atrás exige dos bitcoins a cambio de la clave AES que desbloqueará los datos.
Más explosión para el dólar
En el primer trimestre de este año, Cring infectó a un fabricante no identificado en Alemania, dijo en un correo electrónico Vyacheslav Kopeytsev, miembro del equipo ICS CERT de Kaspersky Lab. La infección se propagó a un servidor que albergaba bases de datos necesarias para la línea de producción del fabricante. Como resultado, los procesos se cerraron temporalmente dentro de dos instalaciones en Italia operadas por el fabricante. Kaspersky Lab cree que los cierres duraron dos días.
“Varios detalles del ataque indican que los atacantes analizaron cuidadosamente la infraestructura de la organización atacada y prepararon su propia infraestructura y conjunto de herramientas en función de la información recopilada en la etapa de reconocimiento”, escribió Kopeytsev en una publicación de blog. Continuó diciendo: “Un análisis de la actividad de los atacantes demuestra que, en base a los resultados del reconocimiento realizado en la red de la organización atacada, optaron por encriptar aquellos servidores cuya pérdida los atacantes creían que causaría el mayor daño a la red. operaciones de la empresa”.
Los respondedores de incidentes finalmente restauraron la mayoría, pero no todos, los datos cifrados de las copias de seguridad. La víctima no pagó ningún rescate. No hay informes de infecciones que causen daños o condiciones inseguras.
Sabio consejo no escuchado
En 2023, los investigadores observaron que los piratas informáticos intentaban activamente explotar la vulnerabilidad crítica de FortiGate VPN. Aproximadamente 480.000 dispositivos estaban conectados a Internet en ese momento. La semana pasada, el FBI y la agencia de Seguridad de Infraestructura y Ciberseguridad dijeron que CVE-2023-13379 era una de varias vulnerabilidades de FortiGate VPN que probablemente estaban bajo explotación activa para su uso en futuros ataques.
Fortinet dijo en noviembre que detectó una «gran cantidad» de dispositivos VPN que permanecieron sin parchear contra CVE-2023-13379. El aviso también decía que los funcionarios de la compañía estaban al tanto de los informes de que las direcciones IP de esos sistemas se estaban vendiendo en foros criminales clandestinos o que las personas estaban realizando escaneos en todo Internet para encontrar sistemas sin parches.
En un comunicado emitido el jueves, los funcionarios de Fortinet escribieron:
La seguridad de nuestros clientes es nuestra primera prioridad. Por ejemplo, CVE-2023-13379 es una vulnerabilidad antigua resuelta en mayo de 2023. Fortinet emitió de inmediato un aviso de PSIRT y se comunicó directamente con los clientes y a través de publicaciones de blogs corporativos en múltiples ocasiones en agosto de 2023, julio de 2023 y nuevamente en abril de 2023 recomendando enfáticamente una actualización. Tras la resolución, nos hemos comunicado constantemente con los clientes en abril de 2023. Para obtener más información, visite nuestro blog y consulte de inmediato el aviso de mayo de 2023. Si los clientes no lo han hecho, les instamos a que implementen de inmediato la actualización y las mitigaciones.
Además de no instalar actualizaciones, Kopeytsev dijo que el fabricante con sede en Alemania también se olvidó de instalar actualizaciones de antivirus y de restringir el acceso a sistemas sensibles solo a empleados seleccionados.
No es la primera vez que un malware interrumpe un proceso de fabricación. En 2023 y nuevamente el año pasado, Honda detuvo la fabricación después de ser infectado por el ransomware WannaCry y una pieza desconocida de malware. Uno de los mayores productores de aluminio del mundo, Norsk Hydro de Noruega, se vio afectado por un ataque de ransomware en 2023 que cerró su red mundial, detuvo o interrumpió las plantas y envió a los trabajadores de TI a toda prisa para que las operaciones vuelvan a la normalidad.
Parchear y reconfigurar dispositivos en entornos industriales puede ser especialmente costoso y difícil porque muchos de ellos requieren una operación constante para mantener la rentabilidad y cumplir con el cronograma. Cerrar una línea de ensamblaje para instalar y probar una actualización de seguridad o para realizar cambios en una red puede generar gastos reales que no son triviales. Por supuesto, hacer que los operadores de ransomware cierren un proceso industrial por su cuenta es un escenario aún más grave.
Publicación actualizada para agregar declaración de Fortinet.
