เมื่อวันที่ 8 เมษายน 2021 ที่ผ่านมา Kaspersky Lab บริษัทผู้พัฒนาซอฟต์แวร์ป้องกันไวรัส  ได้รายงานเกี่ยวกับการโจมตีโดยใช้อุปกรณ์ Fortinet VPN ในเวอร์ชันที่ยังไม่ได้อัปเดตแพทซ์ซึ่งมีช่องโหว่ CVE-2018-13379 ทำให้แฮกเกอร์สามารถเข้าติดตั้ง Cring Ransomware เพื่อโจมตีเหยื่อได้

โดยหลังจากรายงานฉบับนี้เผยแพร่ FBI และ CISA ได้ประกาศแจ้งเตือนกลุ่ม APT เกี่ยวกับการตรวจหาช่องโหว่ CVE-2018-13379 ของ Fortinet SSL VPN appliance ด้วยเช่นกัน โดยการโจมตีนี้เริ่มเกิดขึ้นช่วงเดือนมกราคม – มีนาคม 2021 ซึ่งเป็นช่องโหว่ที่เกี่ยวกับแพทซ์ traversal บน FortiOS SSL VPN Web portal ช่องโหว่ดังกล่าวจะทำให้แฮกเกอร์สามารถ unauthenticated เพื่อเข้าไปอ่าน arbitrary system file รวมถึง session file ที่มี username และ password ที่เก็บไว้ในรูปของ plaintext ได้

ภาพประกอบ: วิธีการเข้าโจมตีของ Cring Ransomware

โดยเมื่อแฮกเกอร์เข้าสู่ระบบได้แล้วจะใช้ Mimikatz เพื่อเก็บข้อมูล account credentials ของ Windows user ที่ logged in มายังระบบที่ถูก compromised และจะเจาะ domain administrator account, move laterally across the network เพื่อปล่อย Cring ransomware ในแต่ละเครื่องโดยใช้ Cobalt Strike framework จากนั้น แฮกเกอร์จะปกปิดการดำเนินการต่าง ๆ โดยการปลอม malicious PowerShell script ในชื่อ “kaspersky” เพื่อหลบเลี่ยงการตรวจจับและให้แน่ใจว่า server hosting ของ ransomware payload จะตอบสนองต่อ request ที่มาจากประเทศในยุโรปเท่านั้น

Cring ransomware ถูกพบครั้งแรกช่วงเดือนมกราคม 2021 ซึ่งสามารถเข้ารหัสไฟล์ที่ระบุบนอุปกรณ์โดยใช้ strong encryption algorithm หลังจากที่ลบร่องรอยของ backup files ทั้งหมด จากนั้นทำการ terminating Microsoft Office และ Oracle Database processes เพื่อให้เกิดการเข้ารหัสแบบแสดง ransom note และเรียกค่าไถ่เป็นจำนวน 2 bitcions

ล่าสุด Fortinet ได้ชี้แจงว่าแพทซ์สำหรับช่องโหว่ CVE-2018-13379 ถูกปล่อยออกมาแล้วตั้งแต่เดือนพฤษภาคม 2019 แต่ในเดือนพฤศจิกายนที่ผ่านมายังมี VPN appliance จำนวนมากที่ไม่ได้รับการแพทซ์ และ IP Address ของ internet-facing device ที่มีช่องโหว่ ถูกซื้อขายใน dark web แต่อย่างไรก็ตามจะพยายามเร่งแก้ไขปัญหาโดยเร็วที่สุด

ที่มา: https://thehackernews.com/2021/04/hackers-exploit-unpatched-vpns-to.html   และ 

https://usa.kaspersky.com/about/press-releases/2021_na-cring-ransomware-infects-industrial-targets-through-vulnerability-in-vpn-servers 



เนื้อหาที่เกี่ยวข้อง

1. บริษัทประกันภัยรายใหญ่ในประเทศ ถูกโจมตีด้วย Ransomware

2. Google โดนฟ้องอีกครั้ง กรณีติดตามกิจกรรมของผู้ใช้ iPhone

3. บริษัทท่อส่งน้ำมันรายใหญ่สหรัฐฯ ถูกโจมตี Ransomware

4. ข้อมูลบนคลาวด์ Microsoft Azure Blob รั่วไหลกว่า 63GB

5. พบข้อมูลรั่วไหลจาก Emotet Botnet 4.3 ล้านบัญชี ควรเร่งตรวจสอบ