Ciberseguridad
Ransomware
cibercrimen

El grupo de 'ransomware' Royal explota una vulnerabilidad de Citrix

Royal esa una de las bandas más sofisticadas, surgió en enero de 2022 y en este tiempo ha sido particularmente activa.

Ransomware

Se estima que el actor de ransomware Royal está explotando activamente un fallo de seguridad crítica que afecta a los sistemas Citrix, según el equipo de investigación At-Bay. Anunciada por la propia Citrix el pasado mes de noviembre, la vulnerabilidad permite eludir las medidas de autenticación en dos productos: Application Delivery Controller y Gateway.

En el momento de la divulgación, no hubo instancias conocidas del error que fueran explotadas. Sin embargo, a partir de la primera semana de 2023 una nueva información sugiere que este grupo lo está haciendo activamente. Royal esa una de las bandas más sofisticadas. Surgió en enero de 2022 y en este tiempo ha sido particularmente activa.

Tan pronto como se publicó la vulnerabilidad de Citrix, el equipo de investigación cibernética de At-Bay comenzó a evaluar la magnitud del riesgo e identificó las empresas que podrían estar expuestas, escribió Adi Dror, investigador cibernético de At-Bay, en un informe . “Los datos de nuestros escaneos, la información obtenida de los datos de reclamos y otra inteligencia recopilada por nuestro equipo de investigación cibernética apuntan a la vulnerabilidad de Citrix CVE-2022-27510 como el punto de acceso inicial utilizado por el grupo de ransomware Royal para lanzar un ataque de ransomware reciente".

El presunto método de explotación de la vulnerabilidad de Citrix por parte del grupo de ransomware Royal está en línea con la explotación de vulnerabilidades similares vistas en el pasado, continuó Dror. Parece que Royal está explotando esta vulnerabilidad de omisión de autenticación en productos Citrix para obtener acceso no autorizado a dispositivos con Citrix ADC o Citrix Gateway y lanzar ataques de ransomware. “La explotación de vulnerabilidades en los servidores es uno de los vectores de ataque más comunes para los grupos de ransomware, especialmente los servidores de infraestructura crítica como los proporcionados por Citrix. Sin embargo, lo que distingue a esta instancia es que el grupo de ransomware está utilizando la vulnerabilidad de Citrix antes de que haya una explotación pública”.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper