Cada día, se descubren nuevas amenazas y vulnerabilidades que ponen en riesgo la integridad de los datos y la continuidad de las operaciones comerciales. Un ejemplo reciente de esta creciente amenaza es el ransomware LockBit, que ha aprovechado una vulnerabilidad en Citrix para lanzar ataques contra miles de servidores, dejando en jaque a organizaciones de todo el mundo.
En este artículo, exploraremos en detalle cómo LockBit ha explotado la vulnerabilidad de Citrix y qué medidas de seguridad se pueden tomar para protegerse contra este tipo de amenazas. Además, analizaremos la importancia de la ciberseguridad en la era digital y cómo las empresas pueden estar mejor preparadas para enfrentar estos desafíos.
Los ataques de ransomware LockBit se están valiendo de exploits de vulnerabilidades públicamente disponibles, específicamente la conocida como Citrix Bleed (CVE-2023-4966), para infiltrarse en los sistemas de grandes organizaciones, robar datos y cifrar archivos sensibles. A pesar de que Citrix lanzó correcciones para la CVE-2023-4966 hace más de un mes, miles de puntos finales expuestos a Internet todavía ejecutan dispositivos vulnerables, y muchos de ellos se encuentran en los Estados Unidos.
El investigador de amenazas Kevin Beaumont ha estado monitoreando ataques dirigidos a diversas empresas, entre ellas el Banco Industrial y Comercial de China (ICBC), DP World, Allen & Overy y Boeing, y ha descubierto un patrón común entre ellas. Estas organizaciones comparten un factor clave: sus servidores Citrix son vulnerables a la vulnerabilidad Citrix Bleed, que según Beaumont, está siendo explotada por la banda de ransomware LockBit en sus ataques.
Te podrá interesar leer: LockBit: Nuevas Normas fijan Mínimo en Demandas de Rescate
Esta información fue corroborada por el Wall Street Journal, que obtuvo un correo electrónico del Tesoro de los Estados Unidos enviado a proveedores de servicios financieros selectos, mencionando que LockBit fue el responsable del ciberataque al ICBC, que se llevó a cabo aprovechando la vulnerabilidad Citrix Bleed.
Si LockBit utilizó esta misma vulnerabilidad para atacar a una empresa, es probable que haya empleado un enfoque similar con Boeing y DP World. Es plausible que estos ataques sean llevados a cabo por un afiliado de LockBit, quien está haciendo un uso extensivo de esta vulnerabilidad para comprometer redes, en lugar de que la operación central de ransomware esté detrás de cada ataque.
LockBit, siendo uno de los servicios de ransomware más grandes, opera con múltiples afiliados que tienen plena autonomía sobre cómo llevar a cabo las intrusiones en las redes. Como ya hemos visto en el pasado con un afiliado que participaba tanto en las operaciones de GandCrab como en las de REvil, no es raro que un hacker se especialice en una industria o un método de acceso inicial específico.
Por ejemplo, un afiliado de GandCrab/REvil se especializó en explotar software MSP para cifrar empresas. Ahora, es posible que estemos presenciando un afiliado de LockBit que utiliza la vulnerabilidad Citrix Bleed para comprometer redes de manera masiva.
Te podrá interesar leer: LockBit: Nuevas Normas fijan Mínimo en Demandas de Rescate
Hasta el momento, más de 10,400 servidores Citrix continúan siendo vulnerables a la CVE-2023-4966, según los hallazgos del investigador de amenazas japonés Yutaka Sejiyama. La mayoría de estos servidores, aproximadamente 3,133, están ubicados en los Estados Unidos, seguidos por 1,228 en Alemania, 733 en China, 558 en el Reino Unido, 381 en Australia, 309 en Canadá, 301 en Francia, 277 en Italia, 252 en España, 244 en los Países Bajos y 215 en Suiza.
Los análisis realizados por Sejiyama han revelado servidores vulnerables en organizaciones grandes y críticas en muchos otros países, los cuales continúan sin ser parcheados incluso un mes después de la divulgación pública de esta crítica falla de seguridad.
Te podría interesar leer sobre: Identificando vulnerabilidades: El poder de las CVE
Citrix Bleed fue revelado el 10 de octubre como una vulnerabilidad crítica que afecta a Citrix NetScaler ADC y Gateway, permitiendo el acceso a información confidencial del dispositivo.
Mandiant informó que los actores de amenazas comenzaron a explotar Citrix Bleed a fines de agosto, cuando la vulnerabilidad aún era desconocida. En estos ataques, los ciberdelincuentes utilizaban solicitudes HTTP GET para obtener cookies de sesión AAA de Netscaler después de la autenticación multifactor (MFA).
Citrix instó a los administradores a proteger sus sistemas contra estos ataques de baja complejidad y sin interacción. El 25 de octubre, la empresa de gestión de superficies de ataque externo AssetNote lanzó una prueba de concepto de explotación que demostró cómo se pueden robar tokens de sesión a través de esta vulnerabilidad.
El caso de LockBit y su explotación de la vulnerabilidad de Citrix es un recordatorio vívido de la creciente amenaza que enfrentan las organizaciones en la era digital. La ciberseguridad debe ser una prioridad para todas las empresas, sin importar su tamaño o industria.
La prevención, la educación y la preparación son elementos clave para protegerse contra amenazas cibernéticas como LockBit. Al tomar medidas proactivas y mantenerse informado sobre las últimas amenazas y vulnerabilidades, las organizaciones pueden reducir significativamente su riesgo y estar mejor preparadas para enfrentar los desafíos de la ciberseguridad en un mundo digital en constante evolución.