Cring ransomware terus menyerang organisasi industri dengan aplikasi yang sudah tua, VPN
Digital Transformation

Cring ransomware terus menyerang organisasi industri dengan aplikasi yang sudah tua, VPN

Grup ransomware Cring terus membuat nama untuk dirinya sendiri melalui serangan terhadap server dan VPN ColdFusion yang menua setelah muncul awal tahun ini.

Para ahli seperti Digital Shadows Sean Nikkel mengatakan kepada ZDNet bahwa yang membuat Cring menarik adalah sejauh ini, mereka tampaknya berspesialisasi dalam menggunakan kerentanan lama dalam serangan mereka.

“Dalam insiden sebelumnya, operator Cring mengeksploitasi kerentanan FortiGate VPN yang berusia dua tahun untuk menargetkan aplikasi Microsoft dan Adobe di akhir masa pakainya. Ini seharusnya menjadi peringatan bagi pemilik sistem di mana pun yang menggunakan masa pakai akhir. atau sistem yang tidak didukung yang terpapar internet secara luas,” kata Nikkel.

“Sementara Cring memiliki operator yang telah menggunakan Mimikatz pada sistem untuk mendapatkan kredensial, ada juga bukti penggunaan proses Windows asli, yang berpotensi menyatu dengan aktivitas yang sah. Ini sering kali membuat pemburu dan pembela jaringan lebih sulit untuk melihat sesuatu yang berbahaya sampai sudah terlambat. Serangan ini dan sebelumnya juga menunjukkan adopsi dan penggunaan beacon Cobalt Strike yang berkelanjutan oleh berbagai pelaku ancaman, yang seringkali membuat fase pasca-eksploitasi lebih mudah dikelola oleh penyerang.”

Sophos merilis sebuah laporan pada bulan September yang menyoroti satu insiden spesifik di mana operator Cring mengeksploitasi kerentanan dalam instalasi Adobe ColdFusion 9 berusia 11 tahun untuk mengendalikan server ColdFusion dari jarak jauh.

Sophos mampu mengikat kelompok menggunakan ransomware Cring dengan peretas di Belarus dan Ukraina yang menggunakan alat otomatis untuk membobol server perusahaan yang tidak disebutkan namanya di sektor jasa.

Para peretas menggunakan alat otomatis mereka untuk menelusuri 9.000 jalur ke dalam sistem perusahaan dalam 75 detik. Tiga menit kemudian, mereka dapat mengeksploitasi kerentanan dalam program Adobe usang yang memungkinkan mereka mendapatkan file dari server yang seharusnya tidak tersedia untuk umum. Mereka mengambil file yang disebut “properti kata sandi,” dan menulis kode kacau di atas “jejak kaki” mereka untuk menutupi jejak mereka. Kemudian, mereka menunggu dua setengah hari, kembali ke jaringan perusahaan, memberi diri mereka hak istimewa Admin dan memposting catatan tebusan yang sinis.

Peretas juga bisa mendapatkan akses ke lembar waktu dan data akuntansi untuk penggajian sebelum melanggar server yang terhubung ke internet dalam hitungan menit dan mengeksekusi ransomware 79 jam kemudian.

Andrew Brandt, peneliti utama di Sophos, mengatakan ransomware Cring bukanlah hal baru, tetapi jarang terjadi.

“Dalam insiden yang kami teliti, targetnya adalah perusahaan jasa, dan yang diperlukan untuk membobol adalah satu mesin yang terhubung ke internet yang menjalankan perangkat lunak lama, kedaluwarsa, dan belum ditambal. Yang mengejutkan adalah server ini aktif setiap hari. gunakan. Seringkali perangkat yang paling rentan adalah mesin yang tidak aktif atau mesin hantu, baik dilupakan atau diabaikan ketika harus menambal dan meningkatkan,” kata Brandt.

“Namun, terlepas dari statusnya — sedang digunakan atau tidak aktif — server yang terhubung ke internet atau perangkat lain yang belum ditambal adalah target utama bagi penyerang siber yang memindai permukaan serangan perusahaan untuk titik masuk yang rentan. Ini adalah pengingat nyata bahwa administrator TI mendapat manfaat darinya. memiliki inventaris yang akurat dari semua aset terhubung mereka dan tidak dapat meninggalkan sistem bisnis penting yang ketinggalan zaman menghadap internet publik. Jika organisasi memiliki perangkat ini di mana saja di jaringan mereka, mereka dapat yakin bahwa penyerang siber akan tertarik padanya. Jangan membuat hidup mudah bagi penjahat dunia maya.”

Serangan yang diidentifikasi oleh Sophos menemukan bahwa peretas memindai situs web korban dengan alat otomatis dan memperoleh akses mudah setelah mereka menemukan ColdFusion yang belum ditambal di server.

Peneliti Sophos mencatat bahwa operator Cring “menggunakan teknik yang cukup canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau atau menghapus log dan artefak lain yang dapat digunakan pemburu ancaman dalam penyelidikan.”

Setelah menyiasati fitur keamanan, para peretas meninggalkan catatan yang mengatakan, “siap bocor jika kita tidak dapat membuat kesepakatan yang baik.”

Pavel Kuznetsov, wakil direktur pelaksana untuk teknologi keamanan siber untuk Positive Technologies, mengatakan kepada ZDNet bahwa operator Cring secara rutin tertarik untuk melakukan pengintaian yang cukup dalam di dalam jaringan sebelum infeksi langsung oleh ransomware mereka.

“Di antara target seringkali infrastruktur organisasi industri. Selain itu, segmen ICS dipilih untuk terinfeksi oleh ransomware, jelas dengan tujuan membahayakan proses terkait (produksi, dll.),” kata Kuznetsov.

Kepala Deteksi malware Positive Technologies Alexey Vishnyakov menambahkan bahwa grup tersebut mendapatkan konsolidasi utamanya melalui eksploitasi kerentanan 1 hari dalam layanan di perimeter organisasi seperti server web, solusi VPN, dan lainnya, baik melalui pembelian akses dari perantara di forum bayangan atau metode lainnya.

“Grup tersebut menggunakan Mimikatz untuk bergerak di dalam sebuah organisasi. Ia menggunakan alat uji coba Cobalt Strike untuk mengamankannya di dalam jaringan ke host. Setelah mengambil alih jaringan, ia mengunduh dan mendistribusikan ransomware,” kata Vishnyakov.

Vishnyakov menggemakan analisis Kuznetsov bahwa Cring difokuskan untuk menyerang perusahaan industri, berharap untuk memaksa penangguhan proses produksi dan kerugian finansial sebagai cara untuk mendorong korban membayar uang tebusan.

“Ini jauh dari yang pertama dan tidak akan menjadi kelompok kriminal terakhir yang bertindak sesuai dengan skema membahayakan kerentanan yang belum ditambal dan mengenkripsi data,” kata Vishnyakov.

“Yang sangat berbahaya adalah serangkaian penetrasi yang berhasil dan infeksi produksi. Risikonya tidak hanya mencakup pemerasan dan konsekuensi finansial – serangan ini juga dapat menyebabkan kecelakaan dan kematian.

Posted By : togel hari ini hk