Πρόσφατες επιθέσεις από το γνωστό ransomware Lockbit χρησιμοποιούν δημόσια διαθέσιμα exploit για την ευπάθεια Citrix Bleed (CVE-2023-4966), με στόχο την παραβίαση συστημάτων μεγάλων οργανισμών και την κρυπτογράφηση αρχείων.
Παρόλο που η Citrix έχει κυκλοφορήσει εδώ και καιρό μια ενημέρωση που διορθώνει την ευπάθεια CVE-2023-4966, χιλιάδες συστήματα, που εκτίθενται στο διαδίκτυο, εξακολουθούν να είναι ευάλωτα (πολλά από αυτά στις Η.Π.Α.).
Lockbit ransomware: Πρόσφατες επιθέσεις
Ο ερευνητής απειλών Kevin Beaumont παρακολουθούσε επιθέσεις εναντίον διαφόρων εταιρειών, όπως η Industrial and Commercial Bank of China (ICBC), η DP World, η Allen & Overy και η Boeing. Διαπίστωσε ότι είχαν κάτι κοινό: εκτεθειμένους Citrix servers, ευάλωτους στην ευπάθεια CVE-2023-4966 που έχει ονομαστεί Citrix Bleed.
Δείτε επίσης: LockBit: Η σχολική περιφέρεια της Βιρτζίνια άνοιξε παρά την επίθεση ransomware
Αυτή την ευπάθεια εκμεταλλεύεται η ransomware συμμορία Lockbit και έχει επιτεθεί στις εταιρείες. Αυτό επιβεβαιώθηκε και από την Wall Street Journal, η οποία έλαβε ένα email από το Υπουργείο Οικονομικών των ΗΠΑ που ανέφερε ότι η ομάδα LockBit ήταν υπεύθυνη για την κυβερνοεπίθεση στην ICBC. Η επίθεση έγινε μέσω της εκμετάλλευσης του εν λόγω σφάλματος.
Εάν η LockBit χρησιμοποίησε την ευπάθεια Citrix Bleed για να παραβιάσει την ICBC, πιστεύεται ότι πιθανότατα χρησιμοποίησε την ίδια ευπάθεια και για την παραβίαση των Boeing και DP World.
Ωστόσο, αυτές οι επιθέσεις μπορεί και να διεξάγονται από έναν affiliate της συμμορίας LockBit που χρησιμοποιεί σε μεγάλο βαθμό αυτήν την ευπάθεια, και όχι από την ίδια την ομάδα.
Καθώς το LockBit είναι το μεγαλύτερο Ransomware-as-a-Service, έχει πολλούς affiliates που επιλέγουν τον τρόπο με τον οποίο παραβιάζουν τα δίκτυα των θυμάτων τους.
Citrix Bleed: Μεγάλος κίνδυνος
Προς το παρόν, περισσότεροι από 10.400 Citrix servers είναι ευάλωτοι στην ευπάθεια CVE-2023-4966, σύμφωνα με τα στοιχεία που έδωσε ο Ιάπωνας ερευνητής Yutaka Sejiyama στο BleepingComputer.
Η πλειονότητα των διακομιστών, 3.133, βρίσκεται στις ΗΠΑ. Ακολουθούν 1.228 στη Γερμανία, 733 στην Κίνα, 558 στο Ηνωμένο Βασίλειο, 381 στην Αυστραλία, 309 στον Καναδά, 301 στη Γαλλία, 277 στην Ιταλία, 252 στην Ισπανία, 244 σε την Ολλανδία και 215 στην Ελβετία.
Οι σαρώσεις του Sejiyama αποκάλυψαν ευάλωτους διακομιστές σε μεγάλους και κρίσιμους οργανισμούς, οι οποίοι παραμένουν χωρίς επιδιόρθωση για έναν ολόκληρο μήνα μετά τη δημόσια αποκάλυψη του σφάλματος και την κυκλοφορία μιας ενημέρωσης.
Δείτε επίσης: Δύο νοσοκομεία της Νέας Υόρκης αντιμετωπίζουν προβλήματα μετά την επίθεση ransomware LockBit
Citrix Bleed
Το Citrix Bleed αποκαλύφθηκε στις 10 Οκτωβρίου ως ένα κρίσιμο ζήτημα ασφαλείας που επηρεάζει Citrix NetScaler ADC και Gateway. Η εκμετάλλευσή του επιτρέπει την πρόσβαση σε ευαίσθητες πληροφορίες συσκευής.
Σύμφωνα με τη Mandiant, οι παράγοντες απειλών άρχισαν να εκμεταλλεύονται το Citrix Bleed στα τέλη Αυγούστου (zero-day).
Προστασία
Για να προστατεύσετε τους διακομιστές σας από το ransomware LockBit και την ευπάθεια Citrix Bleed, πρέπει να εφαρμόσετε τις πιο πρόσφατες ενημερώσεις.
Επιπλέον, η εφαρμογή των βέλτιστων πρακτικών ασφάλειας είναι ζωτικής σημασίας. Αυτό περιλαμβάνει την ενεργοποίηση της διπλής επαλήθευσης, τη χρήση ισχυρών κωδικών πρόσβασης, την περιορισμένη πρόσβαση στους διακομιστές και την απενεργοποίηση των προεπιλεγμένων λογαριασμών χρηστών που δεν χρησιμοποιούνται.
Δείτε επίσης: Ισπανία: Phishing emails διανέμουν το LockBit Locker ransomware
Επιπλέον, η εκπαίδευση του προσωπικού είναι σημαντική. Οι χρήστες πρέπει να είναι ενημερωμένοι για τις τελευταίες απειλές και να αποφεύγουν το άνοιγμα ανεπιθύμητων ηλεκτρονικών μηνυμάτων ή τα κλικ σε ύποπτους συνδέσμους.
Τέλος, η τακτική δημιουργία αντιγράφων ασφαλείας είναι ζωτικής σημασίας. Η τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων σας μπορεί να σας βοηθήσει να ανακτήσετε τις πληροφορίες σας σε περίπτωση που πέσετε θύμα ransomware επίθεσης.
Πηγή: www.bleepingcomputer.com
,){kind=link}