【安全资讯】黑客利用Fortigate VPN漏洞在工业目标上部署Cring勒索软件

近期，研究人员观察到一系列利用Fortinet VPN设备漏洞（CVE-2018-13379）的攻击活动，主要针对的是欧洲工业企业。攻击者通过Fortinet漏洞在企业网络部署一种名为“ Cring”的新型勒索软件。加密完成后，恶意软件会向攻击者发出赎金票据，要求受害者提供两个比特币（目前相当于约114,000美元），以换取解密密钥。

CVE-2018-13379是 FortiOS SSL VPN web门户中的一个路径遍历漏洞，该漏洞用于提取VPN网关的会话文件，会话文件包含有价值的信息，如用户名和明文密码，从而允许攻击者获取对企业网络的访问权限。获取系统的访问权限后，攻击者将Mimikatz下载到该系统，窃取之前登录过受感染系统的Windows用户的帐户凭据，包括域管理员帐户。然后使用PowerShell将Cobalt Strike分发到目标网络上的其他系统，以允许攻击者对受感染系统进行远程控制。最后，攻击者通过cmd脚本下载和启动Cring勒索软件。

攻击流程如下：

Cring勒索软件会删除所有备份文件并终止Microsoft Office和Oracle Database进程，据称，Cring还暂停用于建立VPN连接的SstpSvc服务，研究人员推测这是为了阻止系统管理员的采取补救措施。然后Cring使用 AES-256和RSA-8192算法加密受害者的数据，成功加密后将发出赎金票据，要求受害者支付两个比特币以换取解密密钥。

  Cring勒索软件赎金票据

目前，至少有一个工业企业因攻击导致生产站点暂时关闭。