Home Sociedad Nueva campaña de ransomware, apunta a la falla de Citrix NetScaler

Nueva campaña de ransomware, apunta a la falla de Citrix NetScaler

Expertos en ciberseguridad de Sophos X-Ops han descubierto una ola de ataques dirigidos a sistemas Citrix NetScaler sin parches expuestos a Internet.

Al describir la campaña maliciosa en X el viernes pasado, los investigadores de seguridad dijeron que aprovechó una vulnerabilidad crítica de ejecución remota de código (CVE-2023-3519), lo que permitió a los actores de amenazas infiltrarse en los sistemas y realizar campañas cibernéticas en todo el dominio.

La similitud entre estos ataques e incidentes anteriores que utilizaron las mismas tácticas, técnicas y procedimientos (TTP) ha generado preocupación sobre un grupo de amenazas potencialmente organizado y experimentado.

El ataque, que Sophos X-Ops ha estado siguiendo, comenzó con el compromiso de sistemas vulnerables a mediados de agosto. Una vez dentro de la red objetivo, los atacantes explotaron la vulnerabilidad NetScaler antes mencionada como herramienta de inyección de código, lo que les permitió iniciar un ataque integral en todo el dominio.

En las etapas posteriores, los ataques demostraron un mayor nivel de complejidad, marcado por varias acciones maliciosas. Estas incluían inyectar software dañino en procesos esenciales de Windows para obtener más control sobre los sistemas comprometidos, usar plataformas en línea específicas para almacenar malware y emplear scripts complejos que eran difíciles de detectar y descifrar.

Además, Sophos X-Ops observó la implementación de webshells PHP con nombres aleatorios en las máquinas víctimas, una táctica consistente con otros informes de la industria. La colaboración entre diferentes entidades de seguridad para revelar la naturaleza de estos ataques ha proporcionado una comprensión más amplia del panorama de amenazas.

De hecho, los ataques se alinean estrechamente con los hallazgos informados por Fox-IT en agosto, que reveló que aproximadamente 2000 sistemas Citrix NetScaler en todo el mundo habían sido comprometidos debido a CVE-2023-3519.

En respuesta, Citrix publicó un parche para la vulnerabilidad CVE-2023-3519 el 18 de julio. Sin embargo, las implicaciones de estos ataques van más allá de la simple aplicación de un parche. Para garantizar una protección integral, se insta a las organizaciones no sólo a aplicar el parche sino también a inspeccionar meticulosamente su red en busca de signos de compromiso.

Se anima a las organizaciones a examinar los datos históricos en busca de rastros de los indicadores de compromiso (IoC) identificados y seguir las instrucciones de Sophos X-Ops para proteger su infraestructura de la amenaza actual.