Специалисты кибербезопасности Kaspersky ICS CERT, провели исследование серии атак на промышленные объекты вирусом шифровальщиком Cring. За восстановление доступа к зашифрованным серверам операторы вредоноса потребовали выкуп в размере 2 BTC. Как удалось установить экспертам, для проникновения в систему шифровальщик Cring использовал уязвимость в VPN-серверах Fortigate.
Благодаря данной уязвимости, злоумышленник могли без аутэнтификации подключаться к устройству и удаленно получить доступ к файлу сеанса, который содержит имя пользователя и пароль в открытом виде. Проблема была исправлена производителем в 2019 году, но до сих пор не все владельцы устройств их обновили. Осенью 2020 года на форумах в даркнете начали появляться предложения о покупке базы IP-адресов уязвимых устройств.
Получив доступ к первой системе в корпоративной сети, операторы Cring использовали утилиту Mimikatz для кражи учетных записей пользователей Windows, ранее выполнивших вход на первоначально скомпрометированном компьютере. Затем хакеры выбрали несколько систем, которые сочли важными для функционирования промышленного предприятия, и запустили на них шифровальщик Cring.
