卡巴斯基研究人员在事件调查中发现Cring勒索软件的攻击利用了Fortigate VPN服务器中的一个漏洞(CVE-2018-13379),受害者包括欧洲国家的工业企业。该漏洞用于提取VPN网关的会话文件,会话文件包含有价值的信息,如用户名和明文密码,从而允许攻击者获取对企业网络的访问权限。获取第一个系统的访问权限后,攻击者将Mimikatz下载到该系统,窃取以前登录受感染系统的Windows用户的帐户凭据,包括域管理员帐户。然后使用PowerShell将Cobalt Strike分发到目标网络上的其他系统,以允许攻击者对受感染系统进行远程控制。最终,攻击者下载cmd脚本,该脚本旨在下载和启动Cring勒索软件。