[ad_1]

چگونه آسیب پذیری VPN به باج افزار اجازه می دهد تا دو شرکت تولیدی را مختل کند

گتی ایماژ

یک محقق از آزمایشگاه کسپرسکی روز چهارشنبه گفت ، اپراتورهای Ransomware پس از معرفی فشار نسبتاً جدیدی که سرورهای کنترل کننده فرآیندهای صنعتی سازنده را رمزگذاری می کند ، دو مرکز تولید متعلق به یک تولید کننده اروپایی را تعطیل کرده اند.

Ransomware ، معروف به Cring ، در یک پست وبلاگ ژانویه توجه عموم را به خود جلب کرد. این شبکه با استفاده از آسیب پذیری های طولانی مدت VPN که توسط Fortinet فروخته شده است ، گسترش می یابد. آسیب پذیری دایرکتوری عرضی به عنوان CVE-2018-13379 ردیابی می شود ، به هکرهای غیرمجاز اجازه می دهد تا یک فایل جلسه حاوی نام کاربری VPN و رمز عبور متن ساده را بدست آورند.

یک اپراتور Cring زنده با استفاده از یک دکمه پای اولیه ، هوش را انجام می دهد و با استفاده از یک نسخه سفارشی از ابزار Mimikatz سعی می کند اعتبار مدیر دامنه ذخیره شده در حافظه سرور را بازیابی کند. سرانجام ، مهاجمان از چارچوب Cobalt Strike برای نصب Cring استفاده کردند. برای سرپوش گذاشتن بر حمله مداوم ، هکرها پرونده های نصب مانند نرم افزار محافظت از کسپرسکی یا سایر فروشندگان را پنهان می کنند.

پس از نصب ، باج افزار با استفاده از رمزگذاری 256 بیتی AES داده ها را قفل می کند و کلید را با استفاده از کلید عمومی RSA-8192 رمزگذاری شده در باج افزار رمزگذاری می کند. یادداشتی که بعد از آن باقی مانده نیاز به دو بیت کوین در ازای کلید AES دارد که قفل اطلاعات را باز می کند.

پول بیشتر برای پول

در سه ماهه اول سال جاری ، Cring یک تولید کننده گمنام را در آلمان آلوده کرد ، وی در نامه ای به ویاچسلاو کوپیتسف ، عضو تیم ICS CERT در آزمایشگاه کسپرسکی گفت. آلودگی به یک پایگاه داده میزبان سرور مورد نیاز برای خط تولید سازنده گسترش یافت. در نتیجه ، فرآیندها به طور موقت در دو مرکز مستقر در ایتالیا که توسط تولید کننده اداره می شد ، بسته شدند. آزمایشگاه کسپرسکی تخمین زد که این خاموش شدن دو روز به طول انجامید.

کوپیتسف در یک پست وبلاگی نوشت: “جزئیات مختلف حمله نشان می دهد که مهاجمان زیرساختهای سازمان مورد حمله را به دقت مورد تجزیه و تحلیل قرار داده و زیرساخت های خود و مجموعه ای از ابزارها را بر اساس اطلاعات جمع آوری شده در مرحله اطلاعات آماده کرده اند.” وی ادامه داد: تجزیه و تحلیل فعالیت مهاجمان نشان می دهد که براساس نتایج اطلاعاتی که در شبکه سازمان مورد حمله انجام شده است ، آنها رمزگذاری آن سرورهایی را انتخاب کرده اند که معتقد است از دست دادن آنها بیشترین آسیب را به فعالیت های شرکت. “

سرانجام ، پاسخ دهندگان حادثه بیشتر ، نه همه ، داده های پشتیبان رمزگذاری شده را بازیابی کردند. مقتول دیه ای پرداخت نکرد. هیچ عفونت ایجاد کننده آسیب یا شرایط خطرناک گزارش نشده است.

نصیحت حکیم رعایت نشد

در سال 2019 ، محققان مشاهده کردند که هکرها به طور فعال در تلاشند تا از آسیب پذیری حیاتی FortiGate VPN استفاده کنند. در آن زمان حدود 480،000 دستگاه به اینترنت متصل بودند. هفته گذشته ، FBI و آژانس امنیت سایبری و امنیت زیرساخت گفتند CVE-2018-13379 یکی از چندین آسیب پذیری VPN FortiGate است که احتمالاً برای استفاده در حملات آینده فعال است.

Fortinet در ماه نوامبر گفت که “تعداد زیادی” دستگاه VPN پیدا کرده است که در برابر CVE-2018-13379 معیوب هستند. این مشاور همچنین گفت که کارمندان این شرکت از گزارش هایی مبنی بر فروش آدرس های IP این سیستم ها در مجامع جنایی زیرزمینی یا اینکه افراد کل اینترنت را اسکن می کردند تا خود سیستم های بسته بندی نشده را آگاه باشند.

کوپیتسف گفت علاوه بر عدم نصب به روزرسانی ها ، تولید کننده مستقر در آلمان در نصب به روزرسانی های ضد ویروس و محدود کردن دسترسی به سیستم های حساس برای انتخاب کارمندان نیز ناکام مانده است.

این اولین بار نیست که روند تولید توسط بدافزار مختل می شود. در سال 2019 و دوباره سال گذشته ، هوندا پس از آلوده شدن به باج افزار WannaCry و یک بدافزار ناشناخته ، تولید خود را متوقف کرد. یکی از بزرگترین تولیدکنندگان آلومینیوم در جهان ، Norsk Hydro نروژ ، با حمله باج افزار سال 2019 روبرو شد که باعث خاموش شدن شبکه جهانی آن ، تعطیلی یا تعطیلی کارخانه ها و بازگشت کارکنان IT به حالت عادی شد.

تعمیر و پیکربندی مجدد دستگاه ها در محیط های صنعتی می تواند به خصوص گران و دشوار باشد ، زیرا بسیاری از آنها برای حفظ سودآوری و رعایت برنامه به کار مداوم نیاز دارند. خاموش کردن خط تولید برای نصب و آزمایش به روزرسانی های امنیتی یا ایجاد تغییرات شبکه می تواند منجر به هزینه های واقعی شود که بی اهمیت است. البته ، اگر اپراتورهای باج افزار خود یک روند صنعتی را تعطیل کنند ، این یک سناریو حتی بدتر است.

[ad_2]

منبع: tarjome-news.ir