A principios de 2021, actores de amenazas realizaron una serie de ataques utilizando el ransomware Cring. Estos ataques fueron mencionados por el CSIRT de Swisscom, pero no quedó claro cómo el ransomware infectaba la red de una organización. Una investigación sobre los incidentes llevada a cabo por los expertos de Kaspersky ICS CERT en una de las empresas atacadas reveló que los ataques del ransomware Cring aprovechan una vulnerabilidad en los servidores VPN. Entre las víctimas de estos ataques se encuentran empresas industriales de países europeos. Al menos en un caso, el ataque del ransomware provocó el cierre temporal de un centro de producción.
En 2019, se conoció la vulnerabilidad CVE-2018-13379 en los servidores VPN Fortigate. El problema fue abordado y parcheado; sin embargo, no todos los dispositivos fueron actualizados – y las ofertas para comprar una lista con las direcciones IP de los dispositivos Internet vulnerables comenzaron a aparecer en los foros de la dark web en otoño de 2020. Con esto, un atacante no autentificado puede conectarse al dispositivo a través de Internet y acceder de forma remota al archivo de sesión, que contiene el nombre de usuario y la contraseña almacenados en texto.
La respuesta al incidente, llevada a cabo por los expertos de Kaspersky ICS CERT, ha revelado que en la serie de ataques de ransomware Cring, el actor de la amenaza explotó la vulnerabilidad CVE-2018-13379 para obtener acceso a la red de la empresa. La investigación demostró que, algún tiempo antes de la fase principal de la operación, los atacantes realizaron conexiones de prueba al Gateway VPN, aparentemente para asegurarse de que las credenciales de usuario robadas para la VPN seguían siendo válidas.
El día del ataque, después de obtener acceso al primer sistema de la red corporativa, los atacantes utilizaron la utilidad Mimikatz en ese sistema. Esta se utilizó para robar las credenciales de las cuentas de los usuarios de Windows que habían iniciado sesión previamente en el sistema comprometido.
A continuación, los ciberdelincuentes tuvieron la suerte de comprometer la cuenta del administrador del dominio, tras lo cual comenzaron a propagarse a otros sistemas de la red de la organización aprovechando que el administrador tenía derechos para acceder a todos los sistemas de la red con una única cuenta de usuario. Tras realizar un reconocimiento y obtener el control de los sistemas de mayor valor para las operaciones de la empresa industrial, los atacantes descargaron y lanzaron el ransomware Cring.
Según los expertos, la falta de actualización de la base de datos de la solución de seguridad utilizada en los sistemas atacados también desempeñó un papel clave, impidiendo que la solución detectara y bloqueara la amenaza. También hay que señalar que algunos componentes de la solución antivirus estaban desactivados, lo que redujo aún más la calidad de la protección.