Регистрация Добавить сайт в закладки

Последние новости

22:00
Артак Товмасян: Стартует строительство Парка Вечности в дань уважения погибшим в войне
20:10
Материалы об уничтожении кладбищ в селах Тагавард и Мец Тагер направлены в Полицию Арцаха
18:15
Евросоюз заплатил залог за арестованного главу партии Саакашвили
16:25
Лидеры ЕС 25 мая обсудят введение европейского сертификата вакцинации от коронавируса
16:25
Никол Пашинян вручил награду Коммандоса его сыну
16:25
Уникальная выставка документов и плакатов времен Великой Отечественной войны открылась в Ереване
15:25
Армянское культурное наследие в Арцахе находится под угрозой: Союз армян Украины обратился в ЮНЕСКО
14:20
Верховный лидер Ирана назвал Израиль «базой террористов»
14:20
Тигран Абрамян: силовые структуры занимаются всем, кроме своих прямых обязанностей: в результате системы внутренней и внешней безопасности почти не действуют
14:20
В Белом доме заявили о нежелании вводить санкции против Москвы
14:20
Эрдоган и Ас-Сиси: кто кого переиграет на Ближнем Востоке?
14:20
МО РА: в Тавушской области приграничный инцидент не зарегистрирован
14:20
США присоединятся к глобальной кампании против экстремизма в Сети
14:20
Традиционное празднование Дня Победы в Казахстане из-за COVID-19 перенесли на 2022 год
12:30
Путин поздравил лидеров и граждан иностранных государств по случаю Дня Победы
11:50
От имени президента Армении в воинском пантеоне «Ераблур» возложен венок
11:50
"Айастани Анрапетутюн". Оружие для армян было предметом почитания
Все новости
Армяне Мира » Новости » Новости от novostiNK » «Лаборатория Касперского»: Шифровальщик Cring атакует промышленные объекты через уязвимость в VPN-серверах

«Лаборатория Касперского»: Шифровальщик Cring атакует промышленные объекты через уязвимость в VPN-серверах

Категория: Новости / Новости от novostiNK
124
0
«Лаборатория Касперского»: Шифровальщик Cring атакует промышленные объекты через уязвимость в VPN-серверах


15 апреля 2021, 10:32 - Новости - В начале 2021 года злоумышленники провели серию атак с использованием шифровальщика Cring. Расследование инцидента, проведённое экспертами Kaspersky ICS CERT на одном из атакованных предприятий, выявило, что в атаках шифровальщика Cring используется уязвимость в VPN-серверах.

Согласно релизу, среди жертв оказались промышленные предприятия в странах Европы. И по крайней мере в одном из случаев атака шифровальщика привела к временной остановке производства на двух итальянских заводах международного промышленного холдинга с головной организацией в Германии.

В серии атак шифровальщиком Cring злоумышленники эксплуатировали уязвимость CVE-2018-13379 в VPN-серверах Fortigate для получения первоначального доступа к сети предприятия. Уязвимость позволяет злоумышленнику без аутентификации подключиться к устройству и удалённо получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде. Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в дарквебе начали появляться предложения о покупке базы IP-адресов уязвимых устройств.

В ходе расследования выяснилось, что в день атаки, получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учётных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. С её помощью злоумышленникам посчастливилось сразу украсть учётные данные доменного администратора. После непродолжительной разведки злоумышленники выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и сразу загрузили и запустили на них шифровальщик Cring.

Чтобы защитить системы от шифровальщика Cring, эксперты рекомендуют постоянно обновлять прошивку VPN-шлюза и решения для защиты конечных точек и их базы данных до последних версий; убедиться, что политики Active Directory позволяют пользователям входить только в те системы, доступ к которым обусловлен рабочей необходимостью; ограничить VPN-доступ между объектами и закрыть все порты, работа которых не требуется для выполнения технологического процесса; рассмотреть возможность внедрения защитных решений класса Endpoint Detection and Response как в корпоративной, так и в промышленной сети; адаптировать сервисы класса Managed Detection and Response для получения оперативного доступа к высококлассным знаниям и наработкам профессиональных экспертов по кибербезопасности; использовать специальную защиту для промышленных процессов.

Более детальная информация о расследовании доступна на сайте Kaspersky ICS CERT.

0 комментариев

Ваше имя: *
Текст комментария:

Подписаться на комментарии