Senza LineaSenza Linea
Aa
  • Home
  • Qui Napoli
    • Eventi
    • Storia & Curiosità
  • Sport
    • Calcio Napoli
    • Migliori siti scommesse
  • Cucina
    • #Tengofame
  • Arte & Spettacolo
    • Musica
    • Arte
    • Cinema
    • Libri
      • Editoria
    • Serie Tv
    • Teatro
  • Nerdangolo
    • CosPlay
    • Fumetti
    • Giochi e modellismo
    • Hi Tech
    • Animazione
    • Videogiochi
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Cerca
Reading: Il ransomware Cring infetta organizzazioni industriali attraverso vulnerabilità dei server VPN
Share
Aa
Senza LineaSenza Linea
  • Home
  • Qui Napoli
  • Sport
  • Cucina
  • Arte & Spettacolo
  • Nerdangolo
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Cerca
  • Home
  • Qui Napoli
    • Eventi
    • Storia & Curiosità
  • Sport
    • Calcio Napoli
    • Migliori siti scommesse
  • Cucina
    • #Tengofame
  • Arte & Spettacolo
    • Musica
    • Arte
    • Cinema
    • Libri
    • Serie Tv
    • Teatro
  • Nerdangolo
    • CosPlay
    • Fumetti
    • Giochi e modellismo
    • Hi Tech
    • Animazione
    • Videogiochi
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Follow US
  • Disclaimer
  • Privacy
  • Buy This Theme!
  • Advertisement
  • Contact us
© 2022 Senzalinea testata giornalistica registrata presso il Tribunale di Napoli n. 57 del 11/11/2015.Direttore Responsabile Enrico Pentonieri
Hi TechNerdangolo

Il ransomware Cring infetta organizzazioni industriali attraverso vulnerabilità dei server VPN

Danilo Battista
Danilo Battista 2 anni fa
Share
8 Min Lettura
SHARE

All’inizio del 2021, alcuni threat actor hanno condotto una serie di attacchi utilizzando il ransomware Cring. Questi attacchi erano stati citati dal CSIRT di Swisscom anche se ancora non era chiaro quale fosse il modo in cui il ransomware riuscisse ad infettare la rete delle organizzazioni. Un’indagine sugli incidenti di una delle organizzazioni prese di mira e condotta dagli esperti di Kaspersky ICS CERT, ha rivelato che gli attacchi del ransomware Cring sfruttano una vulnerabilità nei server VPN. Le vittime di questi attacchi includono imprese industriali situate in alcuni Paesi europei. In uno di questi casi l’attacco ha provocato l’arresto temporaneo di un sito di produzione.

Nel 2019, fu rilevata la vulnerabilità CVE-2018-13379 nei server VPN Fortigate. Il problema venne affrontato e risolto grazie alle patch, anche se non tutti i dispositivi furono aggiornati. A partire dall’autunno 2020, infatti, iniziarono ad apparire su alcuni forum presenti nel dark web le offerte per l’acquisto di un elenco già pronto contenente indirizzi IP di dispositivi vulnerabili connessi a internet. Con queste informazioni, un attaccante non autenticato poteva connettersi all’appliance tramite internet e accedere in remoto al file di sessione contenente nome utente e password memorizzati in chiaro, ovvero con un testo non crittografato.

L’attività di incident response condotta dagli esperti di Kaspersky ICS CERT, ha rivelato che nella serie di attacchi con il ransomware Cring, per ottenere l’accesso alla rete aziendale, il threat actor ha sfruttato la vulnerabilità CVE-2018-13379.

Le indagini hanno mostrato che, qualche tempo prima della fase più importante dell’operazione, gli attaccanti avevano eseguito connessioni di prova al gateway VPN, apparentemente al fine di assicurarsi che le credenziali utente rubate per la VPN fossero ancora valide.

Il giorno dell’attacco, dopo aver ottenuto l’accesso al primo sistema della rete aziendale, gli attaccanti hanno utilizzato l’utility Mimikatz. L’utility è stata sfruttata per rubare le credenziali degli account degli utenti Windows che avevano precedentemente effettuato l’accesso al sistema compromesso. Gli attaccanti sono poi riusciti a compromettere l’account dell’amministratore di dominio e a dare inizio al propagarsi dell’attacco su altri sistemi della rete aziendale sfruttando i diritti di accesso dell’amministratore che, con un singolo account utente, poteva entrare in tutti i sistemi della rete.

Dopo aver fatto una ricognizione e ottenuto il controllo di tutti i sistemi preziosi per le operazioni dell’organizzazione industriale, gli attaccanti hanno scaricato e lanciato il ransomware Cring.

Secondo gli esperti, un ruolo chiave nella riuscita dell’attacco lo ha giocato la mancanza di aggiornamenti tempestivi del database per la soluzione di sicurezza utilizzata sui sistemi attaccati, impedendo alla soluzione di rilevare e bloccare la minaccia. Va anche notato che alcuni componenti della soluzione antivirus sono stati disabilitati, riducendo ulteriormente la qualità della protezione.

“Vari dettagli dell’attacco indicano che gli attaccanti avevano analizzato attentamente l’infrastruttura dell’organizzazione presa di mira e preparato il proprio toolkit sulla base delle informazioni raccolte in fase di ricognizione. Per esempio, il server host del malware da cui è stato scaricato il ransomware Cring aveva abilitato l’infiltrazione tramite indirizzo IP e rispondeva solo alle richieste provenienti da diversi Paesi europei. Gli script degli attaccanti hanno camuffato l’attività del malware facendola apparire come parte di un’operazione della soluzione antivirus dell’organizzazione terminando i processi eseguiti dai server di database (Microsoft SQL Server) e dai sistemi di backup (Veeam) che venivano utilizzati sui sistemi selezionati per l’encryption. Un’analisi dell’attività degli attaccanti dimostra che, sulla base dei risultati della ricognizione effettuata sulla rete dell’organizzazione presa di mira, gli attaccanti hanno scelto di criptare quei server la cui perdita, secondo loro, avrebbe causato il maggior numero di danni alle operazioni dell’azienda”, ha commentato Vyacheslav Kopeytsev, security expert dell’ICS CERT di Kaspersky.

È possibile avere maggior informazioni sull’indagine sul sito del Kaspersky ICS CERT.

Per proteggersi da questa minaccia, gli esperti di Kaspersky raccomandano di:
⦁ Aggiornare il firmware del gateway VPN alle ultime versioni.
⦁ Aggiornare le soluzioni di protezione degli endpoint e i loro database alle ultime versioni.
⦁ Assicurarsi che tutti i moduli delle soluzioni di protezione degli endpoint siano sempre abilitati, come raccomandato dal fornitore.
⦁ Assicurarsi che la policy di active directory permetta agli utenti di accedere solo a quei sistemi che sono richiesti dalle loro esigenze operative.
⦁ Limitare l’accesso VPN tra le strutture e impedire l’accesso a tutte quelle porte che non sono richieste da esigenze operative.
⦁ Configurare il sistema di backup per memorizzare le copie di sicurezza su un server dedicato.
⦁ Migliorare ulteriormente la resistenza dell’organizzazione a potenziali attacchi ransomware considerando l’implementazione di soluzioni di sicurezza di tipo Endpoint Detection and Response su entrambe le reti IT e OT.
⦁ Adattare i servizi Managed Detection and Response per ottenere un accesso immediato al più alto livello di competenze e conoscenze da parte di esperti di sicurezza professionisti.
⦁ Utilizzare una protezione dedicata ai processi industriali. ⦁ Kaspersky Industrial ⦁ CyberSecurity protegge i nodi industriali e consente il monitoraggio delle reti OT per rilevare e bloccare le attività dannose.

Informazioni su Kaspersky ICS CERT

Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) è un progetto globale lanciato da Kaspersky nel 2016 per coordinare l’impegno di venditori di sistemi di automazione, proprietari e operatori di impianti industriali e ricercatori di sicurezza informatica per proteggere le imprese industriali dai cyberattacchi. Kaspersky ICS CERT dedica i suoi sforzi principalmente all’identificazione delle minacce potenziali ed esistenti che prendono di mira i sistemi di automazione industriale e l’Industrial Internet of Things. Kaspersky ICS CERT è un membro attivo e partner delle principali organizzazioni internazionali che sviluppano raccomandazioni sulla protezione delle imprese industriali dalle minacce informatiche. ics-cert.kaspersky.com

Informazioni su Kaspersky

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/

Potrebbe piacerti anche

WWE 2K23: Your Time is Now

Kaspersky Threat Intelligence migliora i threat data feed, l’analisi delle minacce e la protezione delle aziende

LA DEMO DI THEATRHYTHM FINAL BAR LINE È DISPONIBILE SU PLAYSTATION 4 E NINTENDO SWITCH

TURTLE BEACH E ROCCAT SCELGONO PLAION ITALIA

Red Dead Online: Ricompense triple nelle missioni via telegramma Estreme, bonus di San Valentino

Danilo Battista Apr 8, 2021
Share this Article
Facebook TwitterEmail Stampa
Pubblicato da Danilo Battista
Follow:
Appassionato sin da piccolo della cultura giapponese, è stato rapito tanti anni fa da Goldrake e portato su Vega. Tornato sulla Terra la sua viscerale passione per l'universo nipponico l'ha portato nel corso degli anni a conoscere ed amare ogni sfumatura della cultura del Sol Levante. Su Senzalinea ha cominciato a scrivere di tecnologia e di cosplay. Da diverso tempo gestisce la sezione "Nerdangolo" ma ha promesso che un giorno, neanche tanto lontano, tornerà su Vega...
Previous Article Blasphemous Deluxe Edition in arrivo in edizione fisica il 29 giugno
Next Article PAC-MAN 99 È DISPONIBILE PER NINTENDO SWITCH!

Ultime notizie

My son is probably gay 4 recensione
5 ore fa Carlo Kik Ditto
TRIANON VIVIANI, le “anime” di TONY CERCOLA venerdì 3 febbraio, ore 21
5 ore fa Redazione
NarteA torna nel sottosuolo partenopeo con “Lapis – Storie dal grembo di Napoli”
5 ore fa Redazione
Carnevale 2023 all’Edenlandia. Coriandoli, galline giganti, grandi sfilate, “truccabimbi” e laboratori a tema.
5 ore fa Redazione
“NOI TRE” DI JOHANNA HEDMAN. RECENSIONE
5 ore fa Cristiana Abbate
WWE 2K23: Your Time is Now
13 ore fa Danilo Battista
Kaspersky Threat Intelligence migliora i threat data feed, l’analisi delle minacce e la protezione delle aziende
20 ore fa Danilo Battista
LA DEMO DI THEATRHYTHM FINAL BAR LINE È DISPONIBILE SU PLAYSTATION 4 E NINTENDO SWITCH
20 ore fa Danilo Battista
TURTLE BEACH E ROCCAT SCELGONO PLAION ITALIA
20 ore fa Danilo Battista
Red Dead Online: Ricompense triple nelle missioni via telegramma Estreme, bonus di San Valentino
20 ore fa Danilo Battista

You Might Also Like

NerdangoloVideogiochi

WWE 2K23: Your Time is Now

13 ore fa
Hi TechNerdangolo

Kaspersky Threat Intelligence migliora i threat data feed, l’analisi delle minacce e la protezione delle aziende

20 ore fa
NerdangoloVideogiochi

LA DEMO DI THEATRHYTHM FINAL BAR LINE È DISPONIBILE SU PLAYSTATION 4 E NINTENDO SWITCH

20 ore fa
NerdangoloVideogiochi

TURTLE BEACH E ROCCAT SCELGONO PLAION ITALIA

20 ore fa
Senza LineaSenza Linea

© Senzalinea testata giornalistica registrata presso il Tribunale di Napoli n. 57 del 11/11/2015.Direttore Responsabile Enrico Pentonieri

Welcome Back!

Sign in to your account

Lost your password?