Киберпреступники используют уязвимости в VPN-серверах, чтобы зашифровать сеть с помощью программы-вымогателя.
В ходе по крайней мере одной атаки злоумышленникам удалось зашифровать серверы контроля с помощью программы-вымогателя. Специалистам из «Лаборатории Касперского» не удалось понять, кто стал жертвой атаки, но они узнали, как киберпреступники получили доступ к серверу и какую малварь использовали.
Малварь известна как Cring. Она впервые появилась в январе и использовала уязвимость в VPN-серверах Fortigate. Fortinet выпустила патч для уязвимости, но киберпреступники все еще могут развертывать эксплойт в сетях, которые еще не установили обновление.
Используя устаревшие VPN-приложения, хакеры могут получить доступ к имени пользователя и паролю удаленно, что даст им возможность войти в сеть.
Далее злоумышленники скачивают Mimikatz, чтобы красть имена и пароли других пользователей и так перемещаться по сети, а также развертывать другие инструменты, например, Cobalt Strike, чтобы получить дополнительный контроль над системами.
Затем с помощью вредоносных скриптов PowerShell они могут зашифровать системы, которые были скомпрометированы Cring. После этого они сообщают своей жертве, что ее сеть была зашифрована программой-вымогателем, и чтобы восстановить ее, нужно выплатить биткоины.
По мнению исследователей, у хакеров получилось провернуть операцию, потому что компания не смогла установить патч. Еще одной причиной стал необновленный антивирус.