Cring, o ransomware que explora brechas de servidores VPNs
- Atualizado em
- Por Naty Santos
- Home-Office, Malwares
Um assunto que nunca sai da pauta dos jornais é o crescimento dos ataques de ransomware, o malware que há 21 meses está na liderança do cenário mundial de ameaças.
Segundo um relatório de cibersegurança, os ataques aumentaram 485%, comparando os anos de 2019 e 2020.
No mesmo estudo, os pesquisadores mostraram quais técnicas de engenharia social se destacaram. Malwares propagados por aplicativos mobile via Android, por exemplo, registraram um crescimento de 32% durante o segundo semestre de 2020. Muitos deles, disseminados através de softwares de videoconferência e aplicativos médicos, durante os meses iniciais da pandemia, no qual muitas pessoas estavam trabalhando remotamente.
O que você vai ver neste post
Conheça o ransomware Cring: o malware que explora vulnerabilidades nos servidores VPN
Esta nova forma de ransomware explora brechas em servidores VPN para criptografar redes do setor industrial.
O Cring apareceu pela primeira vez em janeiro deste ano, explorando uma falha nos servidores VPN, detectado pela equipe CSIRT do provedor de telecomunicações suíço Swisscom.
O incidente paralisou temporariamente as atividades dos afetados, devido à criptografia dos servidores usados para controlar o processo industrial.
Para corrigir o problema, o fabricante da VPN lançou um patch de segurança, porém os cibercriminosos conseguiram invadir as redes que não efetuaram as atualizações de segurança.
Como o Cring age
- Através de aplicativos VPN desatualizados, atacantes conseguem acessar remotamente o nome de usuário e a senha de um indivíduo autenticado, permitindo efetuar o login manualmente na rede.
- Invasores baixam o Mimikatz, um aplicativo de código aberto com amplas capacidades de extração de credenciais em sistemas operacionais Windows. Ele possibilita: extração de senhas em texto plano armazenadas na memória; hashesde senhas armazenadas na SAM; senhas armazenadas em navegadores como o Google Chrome e Microsoft Edge; e criação de tickets falsos para autenticação via Kerberos.
- Utilizando o Mimikatz, o invasor visualiza e salva as credenciais de autenticação, para roubar nomes de usuários e senhas, para se mover lateralmente pela rede, e obter o controle da conta do administrador de domínio.
- Conseguindo explorar a rede, o atacante implanta ferramentas como o Coblat Strike, um software de penetração usado por atacantes para simular ataques e espalhar malwares, controlando os sistemas infectados.
- Após remover os arquivos de backup e eliminar os processos do Microsoft Office e do Oracle Database, os invasores criptografam todos os sistemas comprometidos na rede pelo ransomware, usando algoritmos de criptografia robustos (RSA-8192 + AES-128).
- Atacantes informam à vítima que sua rede foi criptografada pelo ransomware e que elas devem se apressar em pagar o resgate em bitcoin, pois a chave de descriptografia não será mantida indefinidamente.
5 Pontos que favorecem a invasão da rede VPN
- Falta de atualizações de segurança dos softwares, principalmente os de defesa, com o antivírus e o firewall, reduzindo a capacidade de detectar intrusões e atividades maliciosas.
- Não ter uma configuração adequada da rede, facilitando o movimento dos invasores entre sistemas diferentes.
- Não adotar uma política de restrição de acessos. Se todos os usuários tiverem permissão para acessar todos os sistemas, facilitará que os invasores distribuam os malwares na rede corporativa com mais facilidade, já que apenas uma conta de usuário fornecerá acesso a inúmeros sistemas.
- Acesso VPN a qualquer usuário, sem restrição.
- Exposição desnecessárias de portas da rede na web.
Dicas VaultOne de segurança
- Limitar os privilégios de administrador apenas para usuários essenciais, pois estes que possuem acesso ao conteúdo dos demais usuários e a seus registros de atividades.
- Bloquear arquivos executáveis que não atendam a critérios específicos ou impedir que códigos JavaScripit e VBScript baixem conteúdo executável.
- Manter um backup offline, caso a rede seja vítima de ataque ransomware, pois isso possibilitará sua rápida restauração.
Sobre nós
O VaultOne é uma solução de gerenciamento de privilégio de contas, que soluciona problemas de segurança centralizando as senhas em um “cofre”, permitindo que os usuários acessem recursos (servidores, computadores, contas sociais) sem a necessidade de uma senha.