Новый вирус-вымогатель Cring атакует шлюзы VPN Fortinet – Bits Media

Специалисты «Лаборатории Касперского» опубликовали отчет о новом вирусе-шифровальщике Cring, операторы которого используют уязвимость в старых версиях -шлюзов Fortinet.

Операторы Cring используют уязвимость CME-2018-13379 в устройствах Fortinet SSL для получения доступа к сети жертвы. Затем они с помощью модифицированной утилиты Mimikatz получают логины и пароли пользователей с административными привилегиями и заражают ИТ-инфраструктуру атакованной компании.

«В числе жертв новой вирусной кампании оказались и индустриальные корпорации из Европы. Как минимум в одном случае заражение привело к временному прекращению производства, так как серверы, используемые на производстве, были зашифрованы вирусом», — сообщается в отчете.

После получения доступа к серверу в атакованной компании злоумышленники с помощью Powershell-скрипта загружают сам вирус-шифровальщик Cring. отключает некоторые службы и закрывает приложения, чтобы снять блокировки файлов и полностью зашифровать данные на сервере. Например, он останавливает сервисы систем резервного копирования, а также службы баз данных.

Для шифрования используются устойчивые к взлому алгоритмы RSA-8192 и AES-128. После окончания процесса шифрования в директориях появляются файлы !!!!!readme.rtf и deReadMe!!!.txt с требованием выкупа. В файлах указывается, что «обычный размер выкупа» составляет 2 , однако в случае заражения масштабной инфраструктуры размер выкупа увеличивается.

CME-2018-13379 в устройствах Fortinet была закрыта еще в мае 2019 года. Представители компании призвали всех пользователей ее продуктов незамедлительно обновить шлюзы, если это не было сделано ранее.

Недавно сразу несколько американских университетов сообщили
об утечке персональных и финансовых данных в руки операторов вируса-шифровальщика Clop. ы воспользовались уязвимостью в решении передачи данных Accellion File Transfer Appliance.