周三，卡巴斯基实验室(Kaspersky Lab)的一名研究人员表示，在部署了一种相对较新的菌株后，勒索软件运营商关闭了一家欧洲制造商的两家生产设施，该菌株通过加密服务器控制一家制造商的工业流程。

这个名为Cring的勒索软件在1月份的一篇博客文章中引起了公众的注意。它利用Fortinet出售的vpn中长期打过补丁的漏洞来控制网络。该漏洞被跟踪为CVE-2018-13379，允许未经认证的攻击者获取包含VPN用户名和明文密码的会话文件。

有了一个初始立足点，一个实时呼叫操作员执行侦察，并使用一个定制版本的Mimikatz工具，试图提取存储在服务器内存中的域管理员凭据。最终，攻击者使用Cobalt Strike框架安装Cring。为了掩盖正在进行的攻击，黑客们将安装文件伪装成来自卡巴斯基实验室或其他供应商的安全软件。

一旦安装，勒索软件使用256位AES加密来锁定数据，并使用硬编码到勒索软件中的RSA-8192公钥加密密钥。留下的便条要求用两个比特币交换AES密钥，AES密钥将解锁数据。

性价比更高

卡巴斯基实验室ICS CERT团队成员科佩切夫(Vyacheslav Kopeytsev)在一封电子邮件中表示，沐鸣开户测速今年第一季度，德国一家未透露姓名的制造商感染了Cring。病毒会传播到一台承载制造商生产线所需数据库的服务器上。因此，由制造商经营的两家位于意大利的工厂暂时关闭了生产流程。卡巴斯基实验室认为关闭持续了两天。

“攻击的各种细节表明，攻击者仔细分析了被攻击组织的基础设施，并根据侦察阶段收集的信息准备了自己的基础设施和工具集，”Kopeytsev在一篇博客文章中写道。他接着说:“对攻击者活动的分析表明，根据对被攻击组织网络进行的侦察结果，他们选择加密那些服务器，攻击者认为丢失这些服务器将对企业的运营造成最大的损害。”

事故响应人员最终恢复了备份中的大部分加密数据，但并非全部。受害者没有支付任何赎金。目前还没有关于感染造成伤害或不安全状况的报告。

明智的建议没有被采纳

2019年，研究人员观察到黑客正积极尝试利用关键的强化VPN漏洞。当时大约有48万台设备连接到互联网上。上周，美国联邦调查局(FBI)和网络安全与基础设施安全局(Cybersecurity and Infrastructure Security agency)表示，CVE-2018-13379是FortiGate VPN漏洞中的一个，这些漏洞可能会被积极利用，用于未来的攻击。

Fortinet在11月表示，它检测到“大量”VPN设备仍未针对CVE-2018-13379打补丁。该报告还说，公司管理人员知道有报道称，这些系统的IP地址被卖给了地下犯罪论坛，或者有人在进行互联网范围的扫描，自己寻找未修补的系统。

在周四发布的一份声明中，富缇网的官员写道:

客户的安全是我们的第一要务。例如，CVE-2018-13379是一个在2019年5月解决的老漏洞。Fortinet在2019年8月、沐鸣开户测速2020年7月以及2021年4月多次发布了PSIRT建议，并通过企业博客直接与客户沟通。直到2021年4月，我们一直在与客户进行沟通。获取更多信息，请访问我们的博客并立即查阅2019年5月的公告。如果客户没有这样做，我们敦促他们立即实施升级和缓解措施。

Kopeytsev表示，除了未能安装更新外，这家总部位于德国的制造商还忽视了安装防病毒更新，并将敏感系统的访问权限限制在特定员工的范围内。

这不是第一次制造过程被恶意软件破坏。2019年和去年，本田在受到“想哭”(WannaCry)勒索软件和一个未知恶意软件的感染后停止了生产。世界最大的铝生产商之一挪威海得鲁公司(Norsk Hydro)在2019年遭受了勒索软件攻击，关闭了其全球网络，停止或中断了工厂，迫使IT工人忙着恢复正常运营。

在工业环境中，修补和重新配置设备的成本和难度尤其大，因为许多设备需要持续运行，以保持盈利和按期运行。为了安装和测试安全更新或对网络进行更改而关闭装配线，可能会导致在现实世界中相当大的开销。当然，让勒索软件运营商自己关闭一个工业流程是更可怕的情况。