Logo  
Rzecznicy Agencje Eksperci Eksperci Rzecznicy Agencje Firmy Zaloguj
Rzecznicy Agencje PR Firmy Eksperci Aktywność
rzeczników
Aktywność
firm
Aktywność
agencji PR
Zaloguj

Login: Hasło:
pamiętaj
Nie masz konta? Rejestracja
Nowe hasło
Zamów reklamę w serwisie rzecznikprasowy.pl

       
 
 Czwartek, 22 kwietnia 2021
 
Centrum prasowe dla rzeczników, biur prasowych, agencji PR i dziennikarzy.
Bezpłatne komunikaty prasowe do przedruku.
Zaloguj się!
BRANŻE
Wszystkie (47761)
AGD (207)
Biznes (5011)
Budownictwo (2138)
Dom (1539)
Dziecko (1252)
Edukacja (1826)
Elektronika (980)
Film (120)
Finanse (1804)
Internet (3029)
Komputery (2513)
Książki (216)
Kulinaria (990)
Kultura i sztuka (1225)
Media (616)
Moda i Styl (1004)
Motoryzacja (1170)
Muzyka (269)
Nieruchomości (1011)
Ogród (147)
Oprogramowanie (2488)
Polityka (370)
Praca i kariera (988)
Prawo (936)
Reklama i PR (979)
RTV (196)
Sport (841)
Telekomunikacja (528)
Turystyka (1200)
Transport (515)
Uroda (513)
Wnętrze (818)
Zdrowie (1700)
Zwierzęta (83)
Życie (1415)
Inne (2675)
Dolnośląskie (242)
Kujawsko-pomorskie (1187)
Lubelskie (25)
Lubuskie (57)
Łódzkie (79)
Małopolskie (151)
Mazowieckie (1624)
Opolskie (23)
Podkarpackie (58)
Podlaskie (236)
Pomorskie (153)
Śląskie (395)
Świętokrzyskie (26)
Warmińsko-mazurskie (46)
Wielkopolskie (101)
Zachodniopomorskie (46)


Złota Strona Tygodnia

subskrybuj kanały RSS subskrybuj kanały RSS
Dodaj do Facebooka Facebook
Dodaj do Twittera Twitter

TAGI
 
 


LOSOWE REDAKCJE
 

Tydzień+


GO


vpress


GK


Express, Nowości


 
KOMUNIKATY TEKSTOWE

Cring, oprogramowanie wymuszające okup, infekuje obiekty przemysłowe
Dodano: 07.04.2021, godzina: 14:07
Cring, oprogramowanie wymuszające okup, infekuje obiekty przemysłowe
Na początku 2021 r. cyberprzestępcy przeprowadzili serię ataków przy użyciu oprogramowania wymuszającego okup, o nazwie Cring.
Poinformował o tym zespół CSIRT szwajcarskiego dostawcy usług telekomunikacyjnych, Swisscom, jednak sposób, w jaki oprogramowanie ransomware infekowało sieć organizacji, pozostawał nieznany. Badanie incydentu, który wystąpił w jednym z zaatakowanych przedsiębiorstw, przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky, wykazało, że ataki przy użyciu oprogramowania Cring wykorzystują lukę w zabezpieczeniach serwerów VPN. Wśród ofiar znajdują się przedsiębiorstwa przemysłowe w państwach europejskich. W co najmniej jednym przypadku atak z wykorzystaniem ransomware spowodował tymczasowe zamknięcie zakładu produkcyjnego.

W 2019 roku ujawniono lukę CVE-2018-13379 w serwerach VPN Fortigate. Mimo pojawienia się łaty nie wszystkie urządzenia zostały zaktualizowane – i od jesieni 2020 r. na forach darkwebu zaczęły pojawiać się oferty zakupu gotowej listy zawierającej adresy IP urządzeń podatnych na ataki. Dzięki nim nieuwierzytelniony atakujący może połączyć się z urządzeniem za pośrednictwem internetu i uzyskać zdalny dostęp do pliku sesji, który zawiera nazwę użytkownika i hasło przechowywane w postaci niezaszyfrowanego tekstu.

Badanie incydentu przeprowadzone przez ekspertów z zespołu ICS CERT firmy Kaspersky wykazało, że w serii ataków z użyciem oprogramowania Cring ugrupowanie cyberprzestępcze uzyskało dostęp do sieci przedsiębiorstwa z wykorzystaniem luki CVE-2018-13379. Dochodzenie wykazało, że na jakiś czas przed główną fazą operacji przestępcy wykonali połączenia testowe z bramą sieci VPN, najwyraźniej w celu upewnienia się, że skradzione dane uwierzytelniające użytkowników do sieci VPN są nadal ważne.

W dniu ataku, po uzyskaniu dostępu do pierwszego systemu w sieci przedsiębiorstwa, atakujący wykorzystali narzędzie Mimikatz w celu kradzieży poświadczeń kont użytkowników systemu Windows, którzy wcześniej logowali się do zhakowanego systemu. Przestępcom udało się następnie włamać do konta administratora domeny, po czym zaczęli przenikać do innych systemów w sieci organizacji dzięki temu, że administrator posiadał prawa dostępu do wszystkich systemów z jednego konta użytkownika.

Po przeprowadzeniu rekonesansu i przejęciu kontroli nad systemami, które były istotne dla operacji przedsiębiorstwa przemysłowego, cyberprzestępcy pobrali i uruchomili oprogramowanie wymuszające okup — Cring.

Według badaczy z firmy Kaspersky kluczową rolę odegrało również to, że nie uaktualniono na czas bazy danych rozwiązania bezpieczeństwa wykorzystywanego w atakowanych systemach, przez co ochrona nie była w stanie wykryć ani zablokować zagrożenia. Ponadto wyłączone zostały niektóre komponenty rozwiązania antywirusowego, co jeszcze bardziej obniżyło jakość zabezpieczeń.

Szczegóły dotyczące ataku sugerują, że atakujący dokładnie przeanalizowali infrastrukturę atakowanej organizacji i przygotowali własną infrastrukturę oraz zestaw narzędzi w oparciu o informacje zgromadzone na etapie rekonesansu. Na przykład serwer, z którego zostało pobrane oprogramowanie Cring służące do wymuszania okupu, miał włączoną infiltrację według adresu IP i odpowiadał jedynie na żądania z kilku państw europejskich. Cyberprzestępcze skrypty zamaskowały aktywność szkodliwego oprogramowania jako operację rozwiązania antywirusowego przedsiębiorstwa i zakończyły procesy wykonywane przez serwery bazodanowe (Microsoft SQL Server) oraz systemy kopii zapasowej (Veeam) wykorzystywane w systemach, które miały zostać zaszyfrowane. Z analizy aktywności przestępców wynika, że po przeprowadzeniu rekonesansu w sieci atakowanej organizacji zdecydowali się oni zaszyfrować te serwery, które w razie utraty w największym stopniu zaszkodziłyby operacjom przedsiębiorstwa – powiedział Wiaczesław Kopcjejew, ekspert z zespołu ICS CERT w firmie Kaspersky.

Więcej informacji na temat dochodzenia dotyczącego omawianych ataków znajduje się na stronie https://r.kaspersky.pl/nslN6.

Porady bezpieczeństwa

W celu zabezpieczenia systemów przed omawianym zagrożeniem eksperci z firmy Kaspersky zalecają następujące działania:

  • Zadbaj o uaktualnienie oprogramowania układowego (firmware) bramy sieci VPN do najnowszej wersji.
  • Regularnie uaktualniaj rozwiązania do ochrony punktów końcowych oraz ich bazy danych do najnowszej wersji.
  • Dopilnuj, aby wszystkie moduły rozwiązań do ochrony punktów końcowych były zawsze włączone – zgodnie z zaleceniami dostawcy.
  • Dopilnuj, aby zasady dot. usługi Active Directory zezwalały użytkownikom na logowanie się wyłącznie do tych systemów, które są niezbędne do wykonywania pracy.
  • Ogranicz dostęp do sieci VPN pomiędzy obiektami i zamknij wszystkie porty, które nie są niezbędne do wykonania operacji.
  • Skonfiguruj system kopii zapasowej do archiwów danych na wyznaczonym serwerze.
  • Aby zwiększyć odporność organizacji na potencjalne ataki ransomware, rozważ wdrożenie rozwiązań bezpieczeństwa typu Endpoint Detection and Response zarówno w sieci IT, jak i OT.
  • Dobrym pomysłem będzie również dostosowanie usług Managed Detection and Response tak, aby uzyskiwały natychmiastowy dostęp do najbardziej zaawansowanych informacji i wiedzy ekspertów ds. bezpieczeństwa.

Stosuj specjalistyczną ochronę przeznaczoną dla procesów przemysłowych. Rozwiązanie Kaspersky Industrial CyberSecurity chroni węzły przemysłowe i umożliwia wykrywanie i powstrzymywanie szkodliwej aktywności poprzez monitorowanie sieci OT.

Informacje o Kaspersky ICS CERT

Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) to globalny projekt uruchomiony przez firmę Kaspersky w 2016 r. w celu koordynacji działań producentów systemów automatyzacji, właścicieli i operatorów obiektów przemysłowych, jak również badaczy bezpieczeństwa IT ukierunkowanych na ochronę przedsiębiorstw przemysłowych przed cyberatakami. Kaspersky Lab ICS CERT koncentruje się głównie na identyfikowaniu potencjalnych i istniejących zagrożeń, których celem są systemy automatyzacji przemysłowej oraz przemysłowy Internet Rzeczy. W pierwszym roku swojej działalności zespół zidentyfikował ponad 110 krytycznych luk w zabezpieczeniach produktów największych globalnych producentów przemysłowych systemów sterowania. Kaspersky Lab ICS CERT jest aktywnym członkiem i partnerem czołowych międzynarodowych organizacji, które opracowują rekomendacje dotyczące ochrony przedsiębiorstw przemysłowych przed cyberzagrożeniami. Więcej informacji znajduje się na stronie https://ics-cert.kaspersky.com

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.


KOMENTARZE
Nie ma jeszcze komentarzy

Dodaj komentarz:

Ile to jest 10 + 5:


 

O AUTORZE
  
Kaspersky Lab Polska
www.kaspersky.pl

Firma

Kupczyk Piotr
Rzecznik
 

INNE MATERIAŁY TEGO AUTORA
 
Kaspersky wprowadza rozwiązanie Endpoint Security Cloud z EDR dla małych i średnich firm Kaspersky wprowadza rozwiązanie Endpoint Security Cloud z EDR dla małych i średnich firm
Interpol wspiera koalicję przeciwko stalkerware w walce z przemocą wspomaganą technologiąInterpol wspiera koalicję przeciwko stalkerware w walce z przemocą wspomaganą technologią
Pięć przełomowych zmian we współczesnych atakach ransomwarePięć przełomowych zmian we współczesnych atakach ransomware
Kaspersky uzyskał miano „Vendor to Watch” w dziedzinie pojazdów opartych na oprogramowaniuKaspersky uzyskał miano „Vendor to Watch” w dziedzinie pojazdów opartych na oprogramowaniu
Wzrost popularności głosowania z wykorzystaniem technologii blockchainWzrost popularności głosowania z wykorzystaniem technologii blockchain
 
Zobacz wszystkie »

PODOBNE KOMUNIKATY
 
Kaspersky wprowadza rozwiązanie Endpoint Security Cloud z EDR dla małych i średnich firm
 
Interpol wspiera koalicję przeciwko stalkerware w walce z przemocą wspomaganą technologią
 
Pięć przełomowych zmian we współczesnych atakach ransomware
 
Kaspersky uzyskał miano „Vendor to Watch” w dziedzinie pojazdów opartych na oprogramowaniu
 
Wzrost popularności głosowania z wykorzystaniem technologii blockchain