Ransomware LockBit explora Citrix Bleed em ataques

Ransomware LockBit explora Citrix Bleed em ataques, 10 mil servidores expostos.

Os ataques de ransomware Lockbit usam explorações publicamente disponíveis para a vulnerabilidade Citrix Bleed (CVE-2023-4966) para violar sistemas de grandes organizações, roubar dados e criptografar arquivos.

Embora a Citrix tenha disponibilizado correções para CVE-2023-4966 há mais de um mês, milhares de endpoints expostos à Internet ainda estão executando dispositivos vulneráveis, muitos deles nos EUA

Ataques Lockbit de alto perfil

O pesquisador de ameaças Kevin Beaumont  tem rastreado ataques  contra várias empresas, incluindo o Banco Industrial e Comercial da China ( ICBC ),  DP World , Allen & Overy  e Boeing , e descobriu que eles tinham algo em comum.

Esses são servidores Citrix expostos vulneráveis ​​à falha Citrix Bleed, que ele diz que a gangue de ransomware LockBit está explorando ataques.

DP World executando um servidor Citrix vulnerável
DP World executando servidor Citrix vulnerável à falha Citrix Bleed
Fonte: Kevin Beaumont

Isto foi ainda  confirmado  pelo Wall Street Journal, que obteve um e-mail do Tesouro dos EUA enviado a prestadores de serviços financeiros selecionados, mencionando que a LockBit foi responsável pelo ataque cibernético ao ICBC, que foi conseguido através da exploração da falha Citrix Bleed.

Se o LockBit usou a vulnerabilidade para violar uma empresa, acredita-se que eles provavelmente violaram a Boeing e a DP World de forma semelhante.

Esses ataques provavelmente estão sendo conduzidos por uma afiliada da LockBit que utiliza intensamente essa vulnerabilidade para violar redes, em vez de ser a própria operação de ransomware por trás do ataque.

Como o LockBit é o maior Ransomware como serviço, ele utiliza muitos afiliados que têm total discrição sobre como violam as redes.

Como vimos com um afiliado que pertencia às operações GandCrab e REvil, não é incomum que um hacker se concentre em um setor específico ou método de acesso inicial.

Por exemplo, uma afiliada GandCrab/REvil especializada na exploração de software MSP para criptografar empresas, e provavelmente estamos vendo uma afiliada LockBit utilizando a falha Citrix Bleed para violar redes em massa.

Uma enorme superfície de ataque

No momento em que este artigo foi escrito, mais de 10.400 servidores Citrix estavam vulneráveis ​​ao CVE-2023-4966, de acordo com as descobertas do pesquisador de ameaças japonês Yutaka Sejiyama compartilhadas com o BleepingComputer.

A maioria dos servidores, 3.133, está nos EUA, seguidos por 1.228 na Alemanha, 733 na China, 558 no Reino Unido, 381 na Austrália, 309 no Canadá, 301 na França, 277 na Itália, 252 na Espanha, 244 em na Holanda e 215 na Suíça.

As varreduras de Sejiyama revelaram servidores vulneráveis ​​em organizações grandes e críticas nos países acima mencionados e em muitos outros países, todos os quais permanecem sem correção durante um mês inteiro após a divulgação pública da falha crítica.

Detalhes do Citrix Bleed

O Citrix Bleed foi  divulgado em 10 de outubro  como um problema crítico de segurança que afeta o Citrix NetScaler ADC e Gateway, permitindo acesso a informações confidenciais de dispositivos.

A Mandiant relatou que os agentes de ameaças começaram  a explorar o Citrix Bleed no final de agosto , quando a falha de segurança ainda era dia zero. Nos ataques, os hackers usaram solicitações HTTP GET para obter cookies de sessão Netscaler AAA após o estágio de autenticação multifator (MFA).

A Citrix pediu aos administradores que protegessem os sistemas contra ataques de baixa complexidade e sem interação. Em 25 de outubro, a empresa de gerenciamento de superfície de ataque externo AssetNote  lançou uma exploração de prova de conceito  demonstrando como os tokens de sessão podem ser roubados.

Fonte: BleepingComputer

Veja também:

 

Sobre mindsecblog 2431 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Netskope alerta para malware em apps durante as compras de fim de ano | Minuto da Segurança da Informação
  2. Como reduzir o risco de Phishing com Firewall DNS? | Minuto da Segurança da Informação
  3. Novo carregador de malware WailingCrab se espalhando por e-mails com tema de envio | Minuto da Segurança da Informação
  4. Falhas nos sensores de digital permitem ignorem o login do Windows Hello | Minuto da Segurança da Informação
  5. Em tempos de AIoT, opte por soluções desenvolvidas com segurança | Minuto da Segurança da Informação

Deixe sua opinião!