Η ομάδα ransomware Cring συνεχίζει να γίνεται γνωστή μέσω επιθέσεων σε παλιούς servers ColdFusion και VPNs, αφού εμφανίστηκε στις αρχές του έτους.
Δείτε επίσης: FBI: Το HelloKitty ransomware προσθέτει τις DDoS στις τακτικές εκβιασμού
Ειδικοί όπως ο Sean Nikkel της Digital Shadows είπαν στο ZDNet ότι αυτό που κάνει το Cring ενδιαφέρον είναι ότι μέχρι στιγμής φαίνεται να ειδικεύονται στη χρήση παλαιότερων τρωτών σημείων στις επιθέσεις τους.
Η Sophos δημοσίευσε μια αναφορά τον Σεπτέμβριο, επισημαίνοντας ένα συγκεκριμένο περιστατικό όπου οι χειριστές του Cring εκμεταλλεύτηκαν μια ευπάθεια σε μια 11χρονη εγκατάσταση του Adobe ColdFusion 9 για να πάρουν τον έλεγχο ενός server ColdFusion από απόσταση.
Η Sophos κατάφερε να συνδέσει την ομάδα που χρησιμοποιεί το Cring ransomware με χάκερ στη Λευκορωσία και την Ουκρανία που χρησιμοποιούσαν αυτοματοποιημένα εργαλεία για να εισβάλουν στους servers μιας ανώνυμης εταιρείας στον τομέα των υπηρεσιών.
Δείτε επίσης: Διαρροή δεδομένων celebrities μετά από ransomware επίθεση στη Graff
Οι χάκερ χρησιμοποίησαν τα αυτοματοποιημένα εργαλεία τους για να περιηγηθούν σε 9.000 pathways στα συστήματα της εταιρείας σε 75 δευτερόλεπτα. Τρία λεπτά αργότερα, κατάφεραν να εκμεταλλευτούν μια ευπάθεια στο απαρχαιωμένο πρόγραμμα της Adobe που τους επέτρεπε να πάρουν στα χέρια τους αρχεία από servers που υποτίθεται ότι δεν ήταν διαθέσιμοι δημόσια. Άρπαξαν ένα αρχείο που ονομάζεται “password properties” και έγραψαν αλλοιωμένο κώδικα πάνω από τα “footprints” τους για να καλύψουν τα ίχνη τους. Στη συνέχεια, περίμεναν δυόμιση μέρες, επέστρεψαν στο δίκτυο της εταιρείας, έδωσαν στον εαυτό τους προνόμια Admin και δημοσίευσαν ένα ransom note.
Οι χάκερ μπόρεσαν επίσης να αποκτήσουν πρόσβαση σε timesheets και λογιστικά δεδομένα για τη μισθοδοσία προτού παραβιάσουν τον internet-facing server μέσα σε λίγα λεπτά και εκτελέσουν το ransomware 79 ώρες αργότερα.
Ο Andrew Brandt, κύριος ερευνητής στη Sophos, είπε ότι το ransomware Cring δεν είναι νέο, αλλά είναι ασυνήθιστο.
Η επίθεση που εντόπισε η Sophos διαπίστωσε ότι οι χάκερ σάρωναν τον ιστότοπο του θύματος με αυτοματοποιημένα εργαλεία και απέκτησαν εύκολη πρόσβαση μόλις βρήκαν το unpatched ColdFusion σε έναν server.
Οι ερευνητές της Sophos σημείωσαν ότι οι χειριστές του Cring «χρησιμοποιούσαν αρκετά εξελιγμένες τεχνικές για να κρύψουν τα αρχεία τους, να εισάγουν κώδικα στη μνήμη και να καλύπτουν τα ίχνη τους κάνοντας over-writing στα files με αλλοιωμένα δεδομένα ή διαγράφοντας αρχεία καταγραφής και άλλα αντικείμενα που θα μπορούσαν να χρησιμοποιήσουν οι κυνηγοί απειλών σε μια έρευνα».
Δείτε επίσης: Chaos ransomware: Στοχεύει παίκτες μέσω ψεύτικων alt lists Minecraft
Αφού ξεπέρασαν τα χαρακτηριστικά ασφαλείας, οι χάκερ άφησαν ένα σημείωμα που έλεγε, “έτοιμα να διαρρεύσουν σε περίπτωση που δεν μπορέσουμε να κάνουμε μια καλή συμφωνία”.
Ο επικεφαλής ανίχνευσης κακόβουλου λογισμικού της Positive Technologies, Alexey Vishnyakov, είπε ότι η ομάδα Cring επικεντρωνόταν στις επιθέσεις σε βιομηχανικές εταιρείες, ελπίζοντας να αναγκάσει την αναστολή των διαδικασιών παραγωγής και τις οικονομικές απώλειες ως τρόπο να ωθήσει τα θύματα στο να πληρώσουν λύτρα.
Πηγή πληροφοριών: zdnet.com
