El grupo de ransomware Cring continúa haciéndose un nombre a través de ataques a servidores y VPN de ColdFusion obsoletos después de surgir a principios de este año.

Expertos como Digital Shadows Sean Nikkel dijeron a que lo que hace que Cring sea interesante es que, hasta ahora, parecen especializarse en el uso de vulnerabilidades más antiguas en sus ataques.

“En un incidente anterior, los operadores de Cring explotaron una vulnerabilidad de FortiGate VPN de dos años de antigüedad para apuntar a aplicaciones de Microsoft y Adobe al final de su vida útil. Esto debería ser una llamada de atención para los propietarios de sistemas de todo el mundo que están utilizando el final de su vida útil. o sistemas no compatibles que están expuestos a Internet en general”, dijo Nikkel.

“Si bien Cring tiene operadores que han utilizado Mimikatz en sistemas para obtener credenciales, también hay evidencia de uso de procesos nativos de Windows, que potencialmente se combinan con actividades que de otro modo serían legítimas. Esto a menudo puede hacer que sea más complicado para los cazadores y defensores de redes ver cualquier cosa maliciosa hasta que “Es demasiado tarde. Este y los ataques anteriores también muestran la adopción y el uso continuo de balizas Cobalt Strike por parte de varios actores de amenazas, lo que a menudo hace que la fase posterior al exploit sea más fácil de manejar para los atacantes”.

Sophos publicó un informe en septiembre destacando un incidente específico en el que los operadores de Cring explotaron una vulnerabilidad en una instalación de Adobe ColdFusion 9 de hace 11 años para tomar el control de un servidor ColdFusion de forma remota.

Sophos pudo vincular al grupo que utilizaba el ransomware Cring con piratas informáticos en Bielorrusia y Ucrania que utilizaron herramientas automatizadas para ingresar a los servidores de una empresa anónima del sector de servicios.

Los piratas informáticos utilizaron sus herramientas automatizadas para explorar 9.000 rutas de acceso a los sistemas de la empresa en 75 segundos. Tres minutos más tarde, pudieron explotar una vulnerabilidad en el obsoleto programa Adobe que les permitió obtener archivos de servidores que se suponía que no estaban disponibles públicamente. Tomaron un archivo llamado “propiedades de contraseña” y escribieron código confuso encima de sus “huellas” para cubrir sus huellas. Luego, esperaron dos días y medio, regresaron a la red de la empresa, se otorgaron privilegios de administrador y publicaron una nota de rescate sardónica.

Los piratas informáticos también pudieron acceder a hojas de horas y datos contables de nómina antes de violar el servidor de Internet en minutos y ejecutar el ransomware 79 horas después.

Andrew Brandt, investigador principal de Sophos, dijo que el ransomware Cring no es nuevo, pero sí poco común.

“En el incidente que investigamos, el objetivo era una empresa de servicios, y todo lo que se necesitó para entrar fue una máquina con acceso a Internet que ejecutaba software antiguo, desactualizado y sin parches. Lo sorprendente es que este servidor estaba activo diariamente A menudo, los dispositivos más vulnerables son máquinas inactivas o fantasmas, olvidadas o pasadas por alto cuando se trata de parches y actualizaciones”, dijo Brandt.

“Pero, independientemente de cuál sea el estado (en uso o inactivo), los servidores u otros dispositivos con acceso a Internet sin parches son objetivos principales para los ciberatacantes que escanean la superficie de ataque de una empresa en busca de puntos de entrada vulnerables. Este es un claro recordatorio de que los administradores de TI se benefician de tener un inventario preciso de todos sus activos conectados y no pueden dejar sistemas comerciales críticos obsoletos frente a la Internet pública. Si las organizaciones tienen estos dispositivos en cualquier lugar de su red, pueden estar seguros de que los ciberatacantes no se sentirán atraídos por ellos. hacer la vida más fácil a los ciberdelincuentes.”

El ataque identificado por Sophos encontró que los piratas informáticos escanearon el sitio web de la víctima con herramientas automatizadas y obtuvieron fácil acceso una vez que encontraron ColdFusion sin parches en un servidor.

Los investigadores de Sophos notaron que los operadores de Cring “utilizaron técnicas bastante sofisticadas para ocultar sus archivos, inyectar código en la memoria y cubrir sus huellas sobrescribiendo archivos con datos confusos o eliminando registros y otros artefactos que los cazadores de amenazas podrían usar en una investigación”.

Después de sortear las características de seguridad, los piratas informáticos dejaron una nota que decía: “Listos para filtrar en caso de que no podamos llegar a un buen acuerdo”.

Pavel Kuznetsov, subdirector general de tecnologías de ciberseguridad de Positive Technologies, dijo a que los operadores de Cring suelen estar interesados ​​en realizar un reconocimiento suficientemente profundo dentro de la red antes de una infección directa por su ransomware.

“Entre los objetivos se encuentran a menudo las infraestructuras de las organizaciones industriales. Además, los segmentos ICS son seleccionados para ser infectados por el ransomware, obviamente con el objetivo de poner en peligro los procesos asociados (producción, etc.)”, dijo Kuznetsov.

El jefe de detección de malware de Positive Technologies, Alexey Vishnyakov, agregó que el grupo obtiene su consolidación principal mediante la explotación de vulnerabilidades de 1 día en servicios en el perímetro de la organización, como servidores web, soluciones VPN y más, ya sea comprando acceso a intermediarios en foros paralelos. u otros métodos.

“El grupo utiliza Mimikatz para moverse dentro de una organización. Utiliza la herramienta de pentesting Cobalt Strike para protegerla dentro de la red para los hosts. Después de hacerse cargo de la red, descarga y distribuye el ransomware”, dijo Vishnyakov.

Vishnyakov se hizo eco del análisis de Kuznetsov de que Cring se centraba en atacar empresas industriales, con la esperanza de forzar suspensiones de procesos de producción y pérdidas financieras como forma de obligar a las víctimas a pagar rescates.

“Está lejos de ser el primero y no será el último grupo criminal que actúa según el plan de poner en peligro una vulnerabilidad no parcheada y cifrar datos”, dijo Vishnyakov.

“Especialmente peligrosas son una serie de intrusiones e infecciones de producción exitosas. Los riesgos incluyen no sólo chantajes y consecuencias financieras, sino que estos ataques también podrían provocar accidentes y muertes.