![\"https:\/\/thehackernews.com\/images\/-wqhJpW-QhTc\/YG79n_lop2I\/AAAAAAAACNY\/ZnMOyKz8e6Adj5Hy8a5WXa_-MbqnDgRLwCLcBGAsYHQ\/s0\/cyberattack.jpg\"](\"https:\/\/thehackernews.com\/images\/-wqhJpW-QhTc\/YG79n_lop2I\/AAAAAAAACNY\/ZnMOyKz8e6Adj5Hy8a5WXa_-MbqnDgRLwCLcBGAsYHQ\/s0\/cyberattack.jpg\")
<\/p>\nOs dispositivos Fortinet VPN n\u00e3o corrigidos est\u00e3o sendo alvos de uma s\u00e9rie de ataques contra empresas industriais na Europa para implantar uma nova variedade de ransomware chamada “Cring” dentro de redes corporativas.<\/p>\n
Pelo menos um dos incidentes de hackers levou ao desligamento tempor\u00e1rio de um site de produ\u00e7\u00e3o, disse a empresa de seguran\u00e7a cibern\u00e9tica Kaspersky em um relat\u00f3rio publicado na quarta-feira, sem divulgar publicamente o nome da v\u00edtima.<\/p>\n
\u00a0<\/p>\n
<\/p>\n
\u00a0<\/p>\n
Os ataques aconteceram no primeiro trimestre de 2021, entre janeiro e mar\u00e7o.<\/p>\n
“V\u00e1rios detalhes do ataque indicam que os invasores analisaram cuidadosamente a infraestrutura da organiza\u00e7\u00e3o visada e prepararam sua pr\u00f3pria infraestrutura e conjunto de ferramentas com base nas informa\u00e7\u00f5es coletadas na fase de reconhecimento”, disse Vyacheslav Kopeytsev, pesquisador de seguran\u00e7a da Kaspersky ICS CERT.<\/p>\n
A divulga\u00e7\u00e3o ocorre dias depois que o Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) alertam sobre os agentes de amea\u00e7as persistentes avan\u00e7adas (APT) que procuram dispositivos Fortinet SSL VPN vulner\u00e1veis \u200b\u200ba CVE-2018-13379, entre outros.\u00a0\u00a0<\/p>\n
“Os atores da APT podem usar essas vulnerabilidades ou outras t\u00e9cnicas comuns de explora\u00e7\u00e3o para obter acesso inicial a v\u00e1rios servi\u00e7os governamentais, comerciais e de tecnologia. O acesso inicial pr\u00e9-posiciona os atores da APT para conduzir ataques futuros”, conforme a ag\u00eancia.\u00a0\u00a0<\/p>\n
\u00a0<\/p>\n
![\"https:\/\/thehackernews.com\/images\/-5QwYhR-6pQ0\/YG794Oq_4BI\/AAAAAAAACNg\/cbtbheKh0Z4gm3R1vdQ6cdPUmQT6WjUNwCLcBGAsYHQ\/s0\/hack.jpg\"](\"https:\/\/thehackernews.com\/images\/-5QwYhR-6pQ0\/YG794Oq_4BI\/AAAAAAAACNg\/cbtbheKh0Z4gm3R1vdQ6cdPUmQT6WjUNwCLcBGAsYHQ\/s0\/hack.jpg\")
<\/p>\n
\u00a0<\/p>\n
A CVE-2018-13379 refere-se a uma vulnerabilidade de passagem de caminho no portal da web FortiOS SSL VPN, que permite que atacantes n\u00e3o autenticados leiam arquivos de sistema arbitr\u00e1rios, incluindo o arquivo de sess\u00e3o, que cont\u00e9m nomes de usu\u00e1rio e senhas armazenados em texto simples.\u00a0<\/p>\n
\u00a0Embora os patches para a vulnerabilidade tenham sido lan\u00e7ados em maio de 2019, a Fortinet disse em novembro passado que identificou um “grande n\u00famero” de dispositivos VPN que permaneceram sem patch, ao mesmo tempo em que alertou que os endere\u00e7os IP desses dispositivos vulner\u00e1veis \u200b\u200bvoltados para a Internet estavam sendo vendidos na dark web.\u00a0\u00a0<\/p>\n
Em uma declara\u00e7\u00e3o compartilhada com o The Hacker News, a Fortinet disse que pediu aos clientes que atualizassem seus aparelhos “em v\u00e1rias ocasi\u00f5es em agosto de 2019, julho de 2020 e novamente em abril de 2021” ap\u00f3s a corre\u00e7\u00e3o de maio de 2019. \u201cSe os clientes n\u00e3o o fizeram, pedimos que implementem imediatamente a atualiza\u00e7\u00e3o e as atenua\u00e7\u00f5es\u201d, disse a empresa.\u00a0<\/p>\n
Os ataques dirigidos a empresas europeias n\u00e3o foram diferentes, de acordo com a resposta a incidentes da Kaspersky, que descobriu que a implanta\u00e7\u00e3o do ransomware Cring envolvia a explora\u00e7\u00e3o do CVE-2018-13379 para obter acesso \u00e0s redes alvo.\u00a0\u00a0<\/p>\n
\u201cAlgum tempo antes da fase principal da opera\u00e7\u00e3o, os atacantes realizaram conex\u00f5es de teste ao Gateway VPN, aparentemente para se certificar de que as credenciais de usu\u00e1rio roubadas para a VPN ainda eram v\u00e1lidas\u201d, conforme informa\u00e7\u00f5es dos pesquisadores da Kaspersky.\u00a0<\/p>\n
Ao obter acesso, os advers\u00e1rios teriam usado o utilit\u00e1rio Mimikatz para desviar as credenciais da conta de usu\u00e1rios do Windows que haviam feito login anteriormente no sistema comprometido, utilizando-os para invadir a conta do administrador de dom\u00ednio, mover-se lateralmente pela rede e, eventualmente, implantar o ransomware Cring em cada m\u00e1quina remotamente usando a estrutura Cobalt Strike.\u00a0\u00a0<\/p>\n
O Cring, uma variedade nascente observada pela primeira vez em janeiro de 2021 pelo provedor de telecomunica\u00e7\u00f5es Swisscom, criptografa arquivos espec\u00edficos nos dispositivos usando algoritmos de criptografia robustos ap\u00f3s remover rastros de todos os arquivos de backup e encerrar os processos do Microsoft Office e do banco de dados Oracle. Ap\u00f3s a criptografia bem-sucedida, ele libera uma nota de resgate exigindo o pagamento de dois bitcoins.\u00a0<\/p>\n
\u00a0<\/p>\n
![\"https:\/\/thehackernews.com\/images\/-zg8HygZ73Eo\/YG7-LtYB1JI\/AAAAAAAACNo\/wj8rvRY9io4E_QWg643XIdI94kejG4D5gCLcBGAsYHQ\/s0\/cybersecurity.jpg\"](\"https:\/\/thehackernews.com\/images\/-zg8HygZ73Eo\/YG7-LtYB1JI\/AAAAAAAACNo\/wj8rvRY9io4E_QWg643XIdI94kejG4D5gCLcBGAsYHQ\/s0\/cybersecurity.jpg\")
<\/p>\n
\u00a0<\/p>\n
Al\u00e9m do mais, o ator da amea\u00e7a teve o cuidado de ocultar sua atividade disfar\u00e7ando os scripts maliciosos do PowerShell sob o nome “kaspersky” para evitar a detec\u00e7\u00e3o e garantiu que o servidor que hospeda a carga \u00fatil do ransomware respondesse apenas \u00e0s solicita\u00e7\u00f5es vindas de pa\u00edses europeus.\u00a0\u00a0“Uma an\u00e1lise da atividade dos atacantes demonstra que, com base nos resultados do reconhecimento realizado na rede da organiza\u00e7\u00e3o atacada, eles optaram por criptografar os servidores que os atacantes acreditavam que causariam os maiores danos \u00e0s opera\u00e7\u00f5es da empresa se perdidos”, conforme Kopeytsev.<\/p>\n
\u00a0<\/p>\n