Nueva variante de ransomware infecta soluciones VPN de Fortinet para hackear redes empresariales

Un reciente reporte detalla la detección de una vulnerabilidad en las soluciones de red privada virtual (VPN) de Fortinet que podría ser explotada para infectar los sistemas comprometidos con el ransomware Cring. Esta variante de malware de cifrado fue reportada por primera vez a inicios de 2021 y también ha sido identificada como Crypt3r, Ghost y Phantom.

El reporte menciona que los operadores del ransomware envían muestras personalizadas de Mimikatz y CobaltStrike para inyectar las cargas útiles de Cring a través de Windows CertUtil, el administrador de certificados legítimos de Microsoft.

Acorde a los expertos de Kaspersky, los actores de amenazas buscan y explotan los servicios VPN Fortigate SSL vulnerables a la explotación de la falla identificada como CVE-2018-13379: “Esta campaña apuna principalmente contra entornos empresariales; al menos en uno de los casos analizados, la infección provocó el cierre temporal de las instalaciones industriales de una compañía afectada”, afirman los expertos.

PROCESO DE ATAQUE

Los hackers maliciosos realizan movimientos laterales en la red comprometida para robar las credenciales de un usuario de Windows empleando Mimikatz. Posteriormente, los actores de amenazas utilizan CobaltStrike para enviar la carga útil al dispositivo de la víctima.

Al parecer esta variante de malware cifra solo algunos archivos en el dispositivo afectado, a la vez que elimina las copias de seguridad y detiene los procesos de Microsoft Office y Oracle Database. Posteriormente aparecen las notas de rescate notificando a las víctimas que sus redes han sido infectadas y deben pagar el rescate.

Los operadores de ID-Ransomware, plataforma que recolecta la información más actualizada sobre esta variante de ataque, señalan que ya se han publicado al menos 30 muestras de esta variante, destacando que las publicaciones comenzaron a finales de enero de 2021.

Este no es el único riesgo activo amenazando a los usuarios de soluciones Fortinet. Hace unos días la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) emitió un reporte en el que detallaba la actividad de un grupo de hacking contra los dispositivos Fortinet VPN vulnerables a la explotación de CVE-2018-13379. Del mismo modo que en los ataques de Cring, la explotación de esta falla permitiría a los actores de amenazas ingresar a las redes empresariales comprometidas.

“Los cibercriminales suelen abusar de vulnerabilidades críticas para realizar ataques de denegación de servicio (DDoS), infecciones de ransomware, inyecciones SQL, campañas de phishing, entre otros escenarios de riesgo”, señala la Agencia.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).