Det er svært at lappe i industrielle miljøer. Ransomware lukke produktionen er sværere.

How a VPN vulnerability allowed ransomware to disrupt two manufacturing plants

Ransomware-operatører lukker to produktionsfaciliteter, der tilhører en europæisk producent, efter at have implementeret en relativt ny stamme, der krypterede servere, der styrer en producents industrielle processer, sagde en forsker fra Kaspersky Lab onsdag.

Den ransomware, kendt som Cring, kom til offentlighedens opmærksomhed i en januar blog-indlæg. Det tager fat i netværk ved at udnytte langvarige sårbarheder i VPN’er, der sælges af Fortinet. Mappens tværgående sårbarhed spores som CVE-2018-13379 og gør det muligt for ikke-godkendte angribere at få en sessionsfil, der indeholder brugernavnet og adgangskoden til VPN’en.

Med et indledende fodfæste udfører en dynamisk Cring-operatør rekognoscering og bruger en tilpasset version af værktøjet Mimikatz i et forsøg på at udtrække domæneadministratorlegitimationsoplysninger, der er gemt i serverhukommelsen. Til sidst bruger angriberne Cobalt Strike-rammen til at installere Cring. For at maskere det igangværende angreb skjuler hackerne installationsfilerne som sikkerhedssoftware fra Kaspersky Lab eller andre udbydere.

Når det er installeret, den ransomware låser data ved hjælp af 256-bit AES kryptering og krypterer nøglen ved hjælp af en RSA-8192 offentlig nøgle hardcodet ind i ransomware. En note efterladt kræver to bitcoins i bytte for AES-nøglen, der låser dataene op.

Mere bang for sorteper

I første kvartal af dette år, cring inficeret en unavngiven producent i Tyskland, Vyacheslav Kopeytsev, et medlem af Kaspersky Lab’s ICS CERT team sagde i en e-mail. Infektionen spredte sig til en server hosting databaser, der var nødvendige for producentens produktionslinje. Som følge heraf blev processerne midlertidigt lukket inde i to italienske anlæg, der drives af producenten. Kaspersky Lab mener, at nedlukningerne varede to dage.

“Forskellige detaljer om angrebet tyder på, at angriberne omhyggeligt havde analyseret infrastrukturen i den angrebne organisation og forberedt deres egen infrastruktur og værktøjssæt baseret på de oplysninger, der blev indsamlet på rekognosceringsstadiet,” skrev Kopeytsev i et blogindlæg. Han fortsatte med at sige, “En analyse af angribernes aktivitet viser, at baseret på resultaterne af rekognoscering udført på den angrebne organisations netværk, valgte de at kryptere disse servere, hvis tab angriberne troede ville forårsage den største skade på virksomhedens operationer.”

Hændelsessvar gendannede til sidst de fleste, men ikke alle de krypterede data fra sikkerhedskopier. Ofret betalte ingen løsesum. Der er ingen rapporter om infektioner, der forårsager skade eller usikre forhold.

Salvie råd ikke lytte

I 2019 observerede forskere hackere, der aktivt forsøgte at udnytte den kritiske FortiGate VPN-sårbarhed. Omkring 480.000 enheder var tilsluttet internettet på det tidspunkt. I sidste uge sagde FBI og Cybersecurity and Infrastructure Security Agency, at CVE-2018-13379 var en af flere FortiGate VPN-sårbarheder, der sandsynligvis var under aktiv udnyttelse til brug i fremtidige angreb.

Fortinet sagde i november, at det opdagede et “stort antal” VPN-enheder, der forblev upatched mod CVE-2018-13379. Den rådgivende sagde også, at virksomhedens embedsmænd var klar over rapporter om, at IP-adresserne på disse systemer blev solgt i underjordiske kriminelle fora, eller at folk udførte internet-dækkende scanninger for at finde unpatched systemer selv.

Ud over ikke at installere opdateringer, sagde Kopeytsev den Tyskland-baserede producent også forsømt at installere antivirusopdateringer og begrænse adgangen til følsomme systemer til kun at vælge medarbejdere.

Det er ikke første gang, at en fremstillingsproces er blevet forstyrret af malware. I 2019 og igen sidste år stoppede Honda produktionen efter at være blevet inficeret af WannaCry ransomware og et ukendt stykke malware. En af verdens største producenter af aluminium, Norsk Hydro fra Norge, blev ramt af et ransomware-angreb i 2019, der lukkede sit verdensomspændende netværk, stoppede eller forstyrrede fabrikker og sendte it-medarbejdere travlt med at vende tilbage operationer til normal.

Det kan være særligt dyrt og vanskeligt at lappe og omkonfigurere enheder i industrielle miljøer, fordi mange af dem kræver konstant drift for at opretholde rentabiliteten og holde tidsplanen. Hvis du lukker et samlebånd for at installere og teste en sikkerhedsopdatering eller foretage ændringer i et netværk, kan det føre til udgifter i den virkelige verden, der ikke er private. Selvfølgelig, at have ransomware operatører lukke en industriel proces på egen hånd er en endnu mere dystre scenario.

Leave a Reply

Your email address will not be published. Required fields are marked *