CRING all'attacco contro i server VPN di alcune aziende europee

Risale alla settimana scorsa la notizia dell’attacco di Cring, un ransomware che colpisce alcuni server VPN, continuando a mietere vittime in diverse aziende produttive europee. In un altro articolo avevamo già parlato di cosa facesse questo tipo di malware e di quanto sia diffuso. Cring si basa sulla ormai nota vulnerabilità CVE-2018-13379 di alcuni server VPN Fortigate ma che sembra non aver ricevuto la patch in tutte le aziende interessate dal problema.

L’origine dell’attacco

Il ransomware Cring è stato identificato per la prima volta a gennaio di questo anno da un gruppo di ricercatori di Kaspersky. Tuttavia, la vulnerabilità era già nota nel 2019 e nel corso dello stesso anno era stata resa nota alla comunità. Fortinet dal suo canto si era occupata di promuovere due campagne informative con lo scopo di far aggiornare i server dei clienti passibili di attacco. Ciononostante, sembrerebbe che a distanza di due anni ancora vari server distribuiti in aziende europee presentino sistemi non aggiornati.

Cring, una volta penetrato nella rete aziendale, è in grado di cifrare tutti i dati con una tecnica a doppio passaggio e richiedendo circa 115.000 $ di riscatto.

La vulnerabilità CVE-2018-13379 permette di operare un path traversal all’interno dei sistemi Fortigate. Un path traversal è un tipo di attacco che consente di accedere ad aree del sistema operativo tipicamente non raggiungibili. Infatti, un web server ospita di norma i file esposti verso la rete in una sottocartella all’interno del file system del sistema operativo. Questo attacco è in grado, tramite pacchetti realizzati ad hoc, di inviare richieste HTTP che eludono le divisioni in cartelle previste. In questo modo risalgono dalla cartella di lavoro corrente alla root, con conseguente accesso completo a tutti i dati del sistema.

Come riportato dai ricercatori, l’attaccante è in grado di accedere in maniera non autenticata al sistema attraverso Internet e recuperare file contenenti informazioni d’accesso riservate. A questo punto, grazie a una serie di strumenti aggiuntivi come Mimikatz e la backdoor Cobalt Stroke, il ransomware dapprima recupera tutte le informazioni rilevanti contenute nel sistema e poi inizia il suo vero attacco cifrando le unità di memoria.

Cosa accade dopo l’attacco di Cring ai server VPN

Cring in realta è particolarmente complesso perché utilizza una modalità a doppia cifratura. Prima effettua un passaggio cifrando i dati con una chiave AES e poi li cifra nuovamente con una RSA da 8192 bits. In aggiunta, prima di iniziare il “lavoro sporco”, il ransomware si occupa anche di terminare eventuali altri servizi che si occupano di mantenere aggiornato i file di backup.

Una volta conclusa la cifratura, i sistemi saranno completamente inutilizzabili e le vittime riceveranno una richiesta di riscatto equivalente a circa 115.000 $. Tuttavia, come abbiamo detto anche altre volte non è sempre detto che la chiave di cifratura utilizzata ci venga concessa dagli attaccanti una volta pagato il riscatto, anzi è più probabile che perderemo soltanto dei soldi.

La presenza di un’architettura di rete non ben pensata può permette la diffusione incontrollata di Cring che cifrerà tutti i sistemi connessi al server VPN.

Naturalmente essendo i server inutilizzabili, le funzionalità di VPN verranno meno e in alcuni casi si sono registrati malfunzionamenti nel sistema produttivo dell’azienda. Infatti, se l’architettura di rete non è ben pensata, i sistemi produttivi potrebbero essere direttamente acceduti da diversi punti della rete aziendale.

Come proteggerci da Cring

Sebbene i nostri sistemi non siano direttamente l’obiettivo di questo malware, possiamo ad ogni modo trarre alcune lezioni importanti. La prima è la necessità di aggiornamento dei sistemi operativi: infatti fare con regolarità gli aggiornamenti rilasciati dalla casa produttrice ci può salvare la vita in diverse occasioni. In effetti le aziende attaccate avevano tutte i server VPN non aggiornati con l’ultima patch rilasciata. Conseguentemente anche il software antivirus, non avendo la definizione delle ultime firme, non è stato in grado di rilevare prontamente l’infezione di Cring.

Il secondo aspetto rilevante è la necessità di mantenere i sistemi isolati fra di loro e garantire l’accesso solo agli utenti che ne hanno davvero bisogno. Infatti, in molti degli attacchi fatti da Cring, i danni sono stati notevoli perché non erano implementate policy di sicurezza che impedissero agli utenti non autorizzati di accedere ad altre parti della rete aziendale. In parole semplici ogni utente era in grado di accedere ai differenti sistemi all’interno dell’azienda: è come trovarsi nel caveau di una banca ed avere le chiavi per accedere a tutte le cassette di sicurezza!

Avere delle politiche di controllo degli accessi può risultare difficile nelle prime fasi ma da notevoli vantaggi nella gestione della sicurezza all’interno dell’azienda. Inoltre, avrebbe garantito di limitare i danni di Cring ai soli server VPN senza intaccare il resto degli ambienti con conseguenze disastrose per il business.

In conclusione, la sicurezza ci da ancora una volta lezioni di semplicità, talmente banali che sembrano difficili da realizzare. Eppure basta impegnarsi e seguire queste regole basilari per rimanere al sicuro e proteggerci da malintenzionati.

Tags: cring, Ransomware, server vpn