Cyberprzestępcy związani z oprogramowaniem ransomware LockBit aktywnie wykorzystują lukę w zabezpieczeniach Citrix Bleed. Ostrzeżenie wydały m.in. CISA i FBI.
Aktywność LockBit
LockBit stał się w ciągu ostatnich dwóch lat dominującym graczem w krajobrazie zagrożeń cybernetycznych. Około połowa wszystkich cyberataków ransomware w 2022 roku była przypisywana wariantom narzędzia LockBit, co potwierdzają badania przeprowadzone przez Fortinet oraz dokument opracowany przez amerykańskie i międzynarodowe agencje cyberbezpieczeństwa, w tym FBI.
Czym zatem jest LockBit i jaka jego charakterystyka sprawia, że stał się tak istotny wśród innych złośliwych narzędzi. Otóż to rodzaj ransomware, który szyfruje pliki ofiar, eksfiltruje je i żąda okupu za ich odszyfrowanie, często również domaga się od ofiar dodtakowych opłat za niewyjawianie skradzionych wrażliwych danych. Niezależnie jednak od decyzji w sprawie okupu, twórcy oprogramowania LockBit stworzyli witrynę w sieci TOR, na której publikują informacje o ofiarach i skradzionych danych.
Grupa odpowiedzialna za ransomware LockBit działa od początku 2020 roku i atakowała w tym czasie podmioty z różnych sektorów, w tym newralgicznych gałęzi energetycznych i rządowych. Działając w modelu Ransomware-as-a-Service (RaaS), udostępnia narzędzia do przeprowadzania ataków innym cyberprzestępcom, zwanych podmiotami stowarzyszonymi. Kreuje to specyficzną sieć powiązań o afiliacyjnym charakterze, w której podmioty zajmują się wybieraniem i infiltrowaniem potencjalnych ofiar, a następnie wdrażają oprogramowanie dostarczone przez dystrybutora LockBit.
Od początku ubiegłego roku skala działań związanych z tym konkretnym rodzajem ataku gwałtownie wzrosła. Według danych przedstawionych przez Fortinet LockBit był zaangażowany w ponad połowę z blisko 3300 cyberataków ransomware, które zakłócały funkcjonowanie różnych firm i instytucji w 2022r. A tendencja ta, jak widać nie wyhamowała również w bieżącym roku. Co więcej, LocKBit rozszerzył swoje działania na systemy macOS, co dla cyberprzestępców otwiera nowe perspektywy.
W bieżącym roku mieliśmy do czynienia z kilkoma spektakularnymi atakami na wielkie instytucje i firmy działające na rynku amerykańskim – Industrial and Commercial Bank of China (ICBC), DP World, Allen & Overy i Boeing. Wspólnym mianownikiem wszystkich tych incydentów okazały się serwery Citrix, które za sprawą luki Citrix Bleed, okazały się bardzo podatne na wykorzystanie przez podmioty operujące ransomware LockBit. Poczatkowe podejrzenia i spekulacje, dotyczące sposobu przeprowadzenia cyberataku, potwierdziły ostateczie zarówno media (dziennik Wall Street Journal), jak i Departament Skarbu USA, który rozpoczął akcję ostrzegającą wybranych dostawców usług finansowych. Działania cyberprzestępców są o tyle przewrotne, że same ataki przeprowadzane są przez różnorodne podmioty, dysponujące pełną swobodą w zakresie sposobu włamywania się do sieci. A to powoduje zarówno nieprzewidywalność, jak i potencjalnie masowy charakter podobnych działań.
Ograniczenie zagrożenia związanego z wykorzystaniem Citrix Bleed
Wszystkim organizacjom, które mogą być narażone na atak, zaleca się jak najszybszą ocenę oprogramowania oraz systemów Citrix pod kątem potencjalnego naruszenia bezpieczeństwa. A w przypadku jakichkolwiek podejrzeń złośliwej aktywności, czy wykrycia anomalii sieciowych, podjęcia kroków, które postawią tamę przed dalszymi działaniami hakerów. Ze względu na spore ryzyko związane ze wspomnianą luką, należy założyć, że cyberprzestępcy potencjalnie uzyskali pełny dostęp administracyjny i mogą wykonywać wszystkie zadania, jakie umożliwia oprogramowanie do zarządzania siecią, łącznie z instalowaniem złośliwego kodu.
Po zidentyfikowaniu potencjalnego wykorzystania CVE-2023-4966 i LockBit 3.0, należy poddać kwarantannie lub odłączyć naruszone hosty w trybie offline oraz stworzyć nowe dane uwierzytelniające konto. W poradniku CISA zaleca między innymi izolowanie urządzenia NetScaler ADC i Gateway do czasu wdrożenia łatek bezpieczeństwa, zabezpieczenie narzędzia zdalnego dostępu i ograniczenie użycia protokołu RDP do czasu właściwych aktualizacji i konfiguracji, które pozwolą na wdrożenie planu odzyskiwania.
Citrix Bleed
Citrix Bleed okazał się niezwykle łatwą do wykorzystania luką, a przy tym wyjątkowo trudną do załatania. Jako krytyczny problem bezpieczeństwa, który wpływa na Citrix NetScaler ADC i Gateway, umożliwiając dostęp do poufnych informacji o urządzeniu, została ujawniona 10 października. I mimo poprawek wdrożonych przez Netscaler, masowa eksploatacja CVE-2023-4966 rozpoczęła się pod koniec miesiąca. A ponadto wykorzystanie jej przez cyberprzestępców dotyczy o wiele szerszego zakresu czasowego – bo już od sierpnia 2023r. (dnia zerowego luki).
Citrix Bleed pozwala atakującym ominąć wymagania dotyczące hasła i uwierzytelniania wieloskładnikowego w urządzeniach kontroli dostarczania aplikacji internetowych (ADC) i NetScaler Gateway firmy Citrix. Dokonują tego poprzez przejmowanie istniejących uwierzytelnionych sesji. Następnie LockBit wykorzystuje ten tymczasowy dostęp do skonfigurowania dostępu stałego (wdrażając narzędzia, takie jak Altera, Anydesk, TeamViewer itp.), aby następnie uzyskać podwyższone uprawnienia i umożliwić gromadzenie danych uwierzytelniających, uzyskiwania dostępu do zasobów ofiary oraz wdrażania w jej systemach oprogramowania ransomware.
W listopadzie operatorzy LockBit opublikowali ponad 40 GB danych skradzionych z systemów Boeinga w reakcji na niewzruszoną postawę giganta lotniczego, który nie ustąpił wobec żądań okupu.
Ogromny obszar podatności na atak
Liczba serwerów Citrix zidentyfikowanych jako podatne na ataki CVE-2023-4966, pod koniec listopada przekraczała 10 400, w istotnej mierze były to serwery wykorzystywane przez duże organizacje o znaczeniu krytycznym na całym świecie. Alarm dotyczący skutków luki w zabezpieczeniach Citrix Bleed był więc sporym szokiem dla organizacji, które pokładały pełne zaufanie do rozwiązań uznawanych powszechnie za wiodące w dziedzinie zdalnego dostępu, również w kontekście bezpieczeństwa.
TSplus Advanced Security: Twoja tarcza przed zagrożeniami cybernetycznymi
W świetle tych wydarzeń ważne jest, aby administratorzy RDS wzmocnili swoje sieci. TSplus niezwykle poważnie traktuje kwestie bezpieczeństwa zdalnych połączeń i danych gromadzonych na serwerach swoich użytkowników. Stąd decyzja o kluczowym partnerstwie z firmą Kaspersky oraz nieustanne doskonalenie rozwiązań w kwestii zabezpieczeń przed zagrożeniami. TSplus oferuje ponadto zaawansowane rozwiązanie w zakresie cyberbezpieczeństwa – Advanced Security. To kompleksowe narzędzie, pozwalające skutecznie zabezpieczyć zdalne pulpity i środowiska wirtualne. Oferuje szeroki zakres funkcji, niezbędnych z punktu widzenia administracji zdalną infrastrukturą.
Wśród kluczowych cech znajdują się m.in.:
- Zapobieganie włamaniom: ochrona przed nieautoryzowanym dostępem.
- Ochrona wielowarstwowa: zabezpieczająca przed oprogramowaniem ransomware, phishingiem i nie tylko.
- Bezpieczny pulpit: pozwalająca na blokowanie sesji zdalnych i ograniczanie aktywności użytkowników, jeśli jest to konieczne z punktu widzenia bezpieczeństwa.
- Ochrona Brute Force: Chroniąca przed atakami za pomocą haseł.
Dlaczego warto wybrać TSplus Advanced Security?
Nasz program w zakresie cyberbezpieczeństwa to kompleksowe rozwiązanie dostosowane do potrzeb Administratorów RDS. W kontekście dynamicznie zmieniającego się środowiska zagrożeń cybernetycznych, przypisanie priorytetu kwestiom bezpieczeństwa wydaje się oczywiste.