Los dispositivos VPN SSL sin parchar de Fortinet están siendo objeto de una serie de ataques contra empresas del sector industrial en Europa para implementar una nueva variante de ransomware denominada “Cring” en sus redes corporativas, al grado que obligó a cerrar temporalmente los procesos industriales en al menos un centro de producción.

El ransomware “Cring” (también conocido como Crypt3r, Vjiszy1lo, Ghost, Phantom) fue descubierto por “Amigo_A” en enero y detectado por el equipo CSIRT del proveedor de telecomunicaciones suizo Swisscom. Los investigadores indican que los atacantes están explotando una falla del directory transversal sin parchar en los dispositivos FortiGate (Firewall Fortinet) que presentan configurado el portal VPN SSL, extrayendo el archivo de sesión de VPN Gateway, el cual contiene información valiosa como el nombre de usuario y la contraseña de texto sin formato. Dicha vulnerabilidad se encuentra descrita en el CVE-2018-13379. El objetivo es obtener acceso a las redes empresariales de las víctimas y, en última instancia, inyectar el ransomware, de acuerdo con un informe de los investigadores de Kaspersky.

Varios días antes del inicio de la fase de ataque principal, los atacantes realizaron conexiones de prueba a la puerta de enlace VPN SSL, aparentemente para verificar que se estaba usando la versión vulnerable del software en el dispositivo. Después de obtener acceso al primer sistema en la red empresarial, los atacantes descargaron la utilería “Mimikatz” para robar las credenciales de la cuenta de los usuarios de Windows que previamente habían iniciado sesión en el sistema comprometido, así como para comprometer la cuenta del administrador del dominio. Posteriormente, los atacantes comenzaron a distribuir malware a otros sistemas en la red de la organización, por medio del malware “Cobalt Strike” y de esta forma obtener el control remoto de los sistemas.
A continuación, los atacantes descargaron el ransomware “Cring”, guardado en la ruta “C:WindowsTempexecute.bat” y al ejecutarlo, se lanzó una PowerShell con el nombre “kaspersky” involucrando diversos procesos para terminar tareas de Windows y cifrar diversos archivos dentro del sistema. Al finalizar, el malware mostró una nota de rescate.

Para evitar ser víctimas del ransomware Cring, Scitum recomienda lo siguiente:

• Actualizar el software de SSL VPN Gateway a las últimas versiones.
• Actualizar las soluciones anti-malware a las últimas versiones.
• Mantener las bases de datos anti-malware actualizadas a las últimas versiones.
• Verificar si todos los módulos de soluciones anti-malware están habilitados.
• Cambiar la política del directorio activo: permitir que los usuarios inicien sesión sólo en aquellos sistemas que sean requeridos por sus necesidades operativas.
• Restringir el acceso VPN entre instalaciones, cerrar todos los puertos que no sean requeridos por las operaciones del negocio.
• Configurar el sistema de respaldo para almacenar copias de respaldo en un servidor dedicado.
• Almacenar al menos tres copias de respaldo para cada sistema crítico.
• Almacenar al menos una copia de seguridad de cada servidor en un medio de almacenamiento independiente dedicado (disco duro externo) o en servicios de la nube.
• Verificar la integridad de las copias de seguridad periódicamente.

Desde diciembre de 2020, cuando la operación salió a la luz, las personas afectadas han estado utilizando el servicio ID-Ransomware para verificar si Cring ransomware infectó sus sistemas. Se han enviado al menos 30 muestras de ransomware Cring desde finales de enero del presente año hasta el día de hoy.

Fortinet a su vez, mencionó que la seguridad de sus clientes es su máxima prioridad e insta a aquellos que no implementaron la actualización y mitigaciones correspondientes, a tomar medidas inmediatas.

Referencias:
https://thehackernews.com/2021/04/hackers-exploit-unpatched-vpns-to.html
https://www.bleepingcomputer.com/news/security/new-cring-ransomware-hits-unpatched-fortinet-vpn-devices/
https://threatpost.com/hackers-exploit-flaw-cring-ransomware/165300/
https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/
https://www.scmagazine.com/home/security-news/ransomware/cring-ransomware-spread-through-hole-in-fortigate-vpn/
https://www.bankinfosecurity.com/ransomware-gang-exploits-old-fortinet-vpn-flaw-a-16365
https://heimdalsecurity.com/blog/fortinet-vpn-devices-attacked-by-cring-ransomware/