Secondo un report dell’azienda di cybersicurezza Kaspersky i primi mesi del 2021 avrebbero visto molte imprese europee prese di mira dai cybercriminali; individuati numerosi attacchi in cui veniva utilizzato il ransomware Cring.
I primi ad individuare la nuova ondata di campagne ransomware tra gennaio e marzo 2021 erano stati i ricercatori del CSIRT (Computer Security Incident Response Team) di Swisscom; non erano però emersi ulteriori dettagli sulle metodiche di diffusione del virus informatico all’interno delle reti aziendali.
Solo in seguito – come riferisce l’indagine Kaspersky – sono state raccolte ulteriori informazioni su come gli attacchi – che hanno messo in difficoltà alcune imprese e portato un sito industriale ad arrestare la fase produttiva – venivano condotti a danno di alcune aziende europee.
Ad essere sfruttata dagli autori degli attacchi era una vulnerabilità (CVE-2018-13379) patchata nel 2019, nei server VPN Fortigate.
Ma come succede in molti casi non tutte le imprese hanno provveduto ad eseguire gli aggiornamenti di sicurezza. Dando modo ai possibili attaccanti di acquistare una lista, disponibile nel darkweb, contenente tutti gli IP dei server non protetti. Su cui, senza autenticazione, era possibile visionare i file di sessione con i dati di accesso in chiaro.
Dettagli sull’attacco del Ransomware Cring
Stando al documento Kaspersky, nel caso preso in esame, una volta eseguito l’accesso nella rete aziendale, i criminali hanno provveduto ad installare il software Mimikatz per rubare le credenziali di accesso degli utenti Windows. Il monitoraggio li ha condotti a compromettere successivamente l’accesso dell’amministratore di dominio che è servito alla diffusione di malware negli altri dispositivi della rete.
Qui, dopo aver pieno preso possesso del sistema infetto attraverso il framework Cobalt Strike, veniva lanciato uno script; questo serviva a scaricare e avviare il ransomware Cring che provvedeva in seconda battuta a crittare i dati con algoritmi avanzati.
LEGGI ANCHE >>> Apple, brevettato un nuovo smartwatch rivoluzionario: i dettagli
Come tendono però a ribadire gli esperti di Kaspersky, il mancato aggiornamento dei sistemi di sicurezza sui server vulnerabili ha esercitato un ruolo fondamentale nella riuscita dell’attacco.
POTREBBE INTERESSARTI >>> Ransomware, Acer nei guai: chiesti 50 milioni di dollari di riscatto
Proprio a tal riguardo il suggerimento dei ricercatori per evitare l’esposizione ai nuovi attacchi portati con il ransomware Cring è quello di mantenere sempre aggiornati non solo gli strumenti di protezione, ma anche il firmware del gateway VPN. Così come limitare l’accesso in VPN alle sole risorse richieste dalle esigenze lavorative e mantenere un server dedicato esclusivamente alle copie di backup.