في أوائل العام 2021، نفّذت جهات تخريبية سلسلة من الهجمات باستخدام برمجية Cring الخبيثة. وذكر فريق الاستجابة لحوادث أمن الحاسوب التابع لشركة "سويس كوم" Swisscom CSIRT هذه الهجمات، لكن لم يتّضح بعدُ كيف تصيب برمجية الفدية هذه شبكات الشركات الصناعية، لكن تحقيقًا أجراه خبراء فريق الاستجابة لطوارئ الحاسوب لنظم الرقابة الصناعية لدى كاسبرسكي، في إحدى الشركات التي تعرضت للهجوم، كشف عن أن هجمات Cring تستغل ثغرة في خوادم الشبكة الافتراضية الخاصة VPN. وضربت هذه الهجمات شركاتٍ صناعية في دول أوروبية، وأدّت في حالة واحدة على الأقل إلى إغلاق مؤقت لأحد مواقع الإنتاج.

وأصبحت ثغرة CVE-2018-13379 الموجودة في خوادم Fortigate VPN معروفة منذ العام 2019. وجرت معالجتها وتصحيحها، لكن لم يتم تحديث جميع الأجهزة التي توجد بها هذه الثغرة. ومنذ خريف العام 2020 بدأت تظهر في منتديات الويب المظلمة قوائم جاهزة بعناوين IP للأجهزة التي تحتوي على الثغرة، ما قد يمكّن المهاجمين من الاتصال بالجهاز عبر الإنترنت والوصول عن بُعد إلى ملف XML الذي يحتوي على اسم المستخدم وكلمة المرور المخزنين بنص واضح.

وكشفت الاستجابة للحوادث، التي أجراها خبراء فريق الاستجابة لطوارئ الحاسوب لدى كاسبرسكي، أن سلسلة هجمات Cring من هجمات طلب الفدية، استغلت الجهة التخريبية ثغرة CVE-2018-13379 للوصول إلى شبكة الشركة.

وأظهر التحقيق أنه في وقت ما قبل المرحلة الرئيسة من العملية، أجرى المهاجمون اتصالات لاختبار بوابة VPN، للتأكّد على ما يبدو من أن بيانات اعتماد المستخدم المسروقة لشبكة VPN لا تزال صالحة.

استخدم المهاجمون في يوم الهجوم، بعد وصولهم إلى أول نظام على شبكة المؤسسة، الأداة المساعدة Mimikatz في سرقة بيانات اعتماد حساب مستخدمي Windows الذين سبق لهم تسجيل الدخول إلى النظام المخترق.

وكان المهاجمون محظوظين بعد ذلك في اختراق حساب مسؤول النطاق الشبكي، ليبدأوا بعد ذلك في الانتشار إلى أنظمة أخرى على شبكة الشركة مستغلين تمتّع المسؤول بحقوق الوصول إلى جميع الأنظمة على الشبكة باستخدام حساب مستخدم واحد.