Un fallo en el software de Citrix provocó el ciberataque a Boeing
Los elementos maliciosos, incluido LockBit 3.0, lograron explotar las vulnerabilidades del software Citrix incluso después de que se solucionasen.
Una vulnerabilidad en el software de Citrix, conocida como Citrix Bleed, fue explotada por un grupo de ransomware, LockBit 3.0, para atacar al gigante de la aviación Boeing y a otras compañías. El mes pasado, estos ciberdelincuentes con sede en Rusia se atribuyeron la responsabilidad del incidente y dio de plazo a la empresa hasta el 10 de noviembre para negociar. Sin embargo, si hubo conversaciones no tuvieron éxito, ya que el grupo publicó unos 50GB de datos supuestamente robados de los sistemas de Boeing. Se cree que LockBit ha entrado hasta en 800 organizaciones solo en 2023. Y, según las estimaciones, las organizaciones estadounidenses han llegado a pagar a esta banda hasta 90 millones de dólares como rescate entre 2020 y 2023. Esto la ha convertido en uno de los grupos de piratería más grandes del mundo.
“Somos conscientes de que un actor criminal de ransomware ha publicado información que dice haber tomado de nuestros sistemas”, dijo Boeing en un comunicado. “Continuamos investigando y permaneceremos en contacto con las autoridades policiales, reguladoras y las partes potencialmente afectadas, según corresponda”.
Aviso basado en datos compartidos por Boeing
Sobre la base de los datos “compartidos voluntariamente” por Boeing, la Agencia de Seguridad de Infraestructura y CIberseguridad (CISA), junto con el FBI y el Centro Australiano de Seguridad Cibernética, emitieron un aviso: “Citrix Bleed, conocido por los afiliados a LockBit 3.0, permite a los actores de amenazas eludir las contraseñas y la autenticación multifactor (MFA), lo que lleva al secuestro exitoso de sesiones de usuarios legítimos en el control de entrega de aplicaciones web de Citrix NetScaler y en los dispositivos Gateway”.
El comunicado compartía las tácticas, técnicas y procedimientos compartidos por Boeing. Citrix solucionó el problema el mes pasado. Sin embargo, para entonces ya estaba siendo explotado por varios elementos maliciosos. Después de publicar el parche, Citrix instó a los usuarios a instalarlo inmediatamente.
"Se han reportado explotaciones de esta vulnerabilidad. Si está utilizando las compilaciones afectadas de NetScaler ADC y NetScaler Gateway, le recomendamos encarecidamente que instale las compilaciones actualizadas lo antes posible", dijo NetScaler en una publicación de blog .
"A través de la toma de control de sesiones de usuarios legítimos, los actores maliciosos adquieren permisos elevados para recolectar credenciales, moverse lateralmente y acceder a datos y recursos", añadió.
Según informes de los medios, CISA ha informado a unas 300 organizaciones para que puedan abordar el fallo y proteger sus sistemas.
El creciente horror de LockBit 3.0
También se cree que LockBit atacó al Banco Industrial y Comercial de China (ICBC), al bufete de abogados Allen & Overy y al Royal Mail del Reino Unido, entre otros. El ataque a la rama estadounidense del ICBC, el mayor prestamista de China, fue tan severo que recientemente provocó la interrupción del comercio en los mercados del Tesoro estadounidense.
Se cree que el banco ICBC pagó un rescate a LockBit para recuperar el control de sus sistemas. Sorprendentemente, ICBC informó de un hack después de aproximadamente un mes de que Citrix lanzara un parche. Un retraso en la instalación del parche posiblemente provocó el incidente.
