Cring という名のランサムウェアが Fortinet VPN を狙っている

New Cring ransomware hits unpatched Fortinet VPN devices

2021/04/07 BleepingComputer — Fortinet の VPN に影響を与える脆弱性が、人間が操作する新種のランサムウェア Cring により悪用され、産業分野ネットワークへの不正侵入が生じ、悪意の暗号化が行われていることが判明した。Cring ランサムウェア(Crypt3r、Vjiszy1lo、Ghost、Phantom とも呼ばれる)は、この1月にAmigo_Aにより発見され、スイスの通信事業者である Swisscom CSIRT チームも察知しているものである。

Cring を運用する犯罪者たちは、最初のアクセスを得た後に、カスタマイズされた Mimikatz サンプルを投下し、続いて Cobalt Strike を投下する。さらに、セキュリティ・ソフトウェアを回避するための、正規の Windows CertUtil Certificate Manager を用いたダウンロードにより、ランサムウェアの本体をディプロイするという。Kaspersky の研究者がレポートで明らかにしたように、攻撃者たちはインターネットに露出した Fortigate SSL VPN サーバーを悪用し、脆弱性 CVE-2018-13379 にパッチを当てていないターゲットの、ネットワークに侵入することが可能だという。

Cring を使う攻撃者たちは、Fortinet VPN アプライアンスから標的となるエンタープライズ・ネットワークへと移動し、Mimikatz を用いて Windowsユーザーの認証情報を盗み出し、ドメイン管理者アカウントをコントロールすると、この記事は指摘しています。そして、悪意のある PowerShell スクリプトを使って展開された Cobalt Strike を用いて、ランサムウェアの実体を被害者のネットワーク上に配信します。

このランサムウェアは、バックアップ・ファイルを削除し、Microsoft Office と Oracle Database のプロセスを終了させた後に、暗号化アルゴリズム(RSA-8192 + AES-128)を使用して、被害者のデバイス上の特定のファイルのみを暗号化するとのことです。この CVE-2018-13379 ですが、NVD による公開が 2019年6月で、更新が2020年11月となっています。その脆弱性が、いまだにニュースに登場するのは、それだけ未対応のユーザーがいるということの証明ですね。ご確認ください。

%d bloggers like this: