Lockbit fidye yazılımı saldırıları, büyük kuruluşların sistemlerini ihlal etmek, veri çalmak ve dosyaları şifrelemek için Citrix Bleed güvenlik açığı (CVE-2023-4966) için halka açık istismarları kullanır.
Citrix, CVE-2023-4966 için düzeltmeler bir aydan daha uzun bir süre önce kullanılabilir olsa da, binlerce internete maruz kalan uç nokta hala savunmasız cihazlar yürütüyor, çoğu ABD'de birçoğu
Tehdit araştırmacısı Kevin Beaumont, Çin Sanayi ve Ticaret Bankası (ICBC), DP World, Allen & Overy ve Boeing dahil olmak üzere çeşitli şirketlere yönelik saldırıları izliyor ve ortak bir şeyleri olduğunu buldu.
Bunlar, Lockbit fidye yazılımı çetesinin saldırılardan yararlandığını söyleyen Citrix Bleed Kusuruna karşı savunmasız olan Citrix sunucuları [1, 2].
Bu ayrıca, finansal hizmet sağlayıcılarına seçilen ABD Hazinesi'nden bir e -posta alan Wall Street Journal tarafından teyit edildi ve Lockbit'in Citrix kanama kusurundan yararlanarak elde edilen ICBC'deki siber saldırıdan sorumlu olduğunu belirtti.
Lockbit bir şirketi ihlal etmek için güvenlik açığını kullanırsa, muhtemelen Boeing ve DP dünyasını benzer şekilde ihlal ettiklerine inanılmaktadır.
Bu saldırılar muhtemelen bu güvenlik açığını, fidye yazılımı operasyonunun saldırının arkasında olmaktan ziyade ağları ihlal etmek için ağır bir şekilde kullanan bir Lockbit üyesi tarafından yürütülmektedir.
Lockbit, hizmet olarak en büyük fidye yazılımı olduğundan, ağları nasıl ihlal ettikleri konusunda tam bir takdir yetkisine sahip birçok bağlı kuruluşu kullanır.
Hem Gandcrab'a hem de daha sonra Revil operasyonlarına ait bir bağlı kuruluşla gördüğümüz gibi, bir bilgisayar korsanının belirli bir endüstriye veya başlangıç erişim yöntemine odaklanması nadir değildir.
Örneğin, şirketleri şifrelemek için MSP yazılımından [1, 2, 3] sömürülme konusunda uzmanlaşmış bir Gandcrab/Revil Affiliate ve muhtemelen Citrix kanama kusurunu kütle-breach ağlarına kullanan bir kilitli kuruluş görüyoruz.
Japon tehdit araştırmacısı Yutaka Sejiyama'nın BleepingComputer ile paylaştığı bulgulara göre, yazma sırasında 10.400'den fazla Citrix sunucusu CVE-2023-4966'ya karşı savunmasız.
Sunucuların çoğunluğu, 3.133, ABD'de, ardından Almanya'da 1.228, Çin'de 733, İngiltere'de 558, Avustralya'da 381, Kanada'da 309, Fransa'da 301, İtalya'da 277, 252, 244 inç. Hollanda ve İsviçre'de 215.
Sejiyama’nın taramaları, yukarıdaki ve diğer birçok ülkedeki büyük ve eleştirel organizasyonlarda savunmasız sunucular ortaya koydu, bunların hepsi kritik kusurun kamuya açıklanmasının ardından tam bir ay boyunca açılmadı.
Citrix Bleed, 10 Ekim'de Citrix NetScaler ADC ve Gateway'i etkileyen kritik bir güvenlik sorunu olarak açıklandı ve hassas cihaz bilgilerine erişimi sağladı.
Mantiant, tehdit aktörlerinin, güvenlik kusurunun hala sıfır gün olduğu Ağustos ayı sonunda Citrix kanamasını sömürmeye başladığını bildirdi. Saldırılarda, bilgisayar korsanları çok faktörlü kimlik doğrulama aşamasından (MFA) sonra NetScaler AAA oturum çerezlerini almak için HTTP GET isteklerini kullandılar.
Citrix, yöneticileri sistemleri bu düşük karmaşık, etkileşimsiz saldırılardan korumaya çağırdı. 25 Ekim'de, Dış Saldırı Yüzey Yönetimi Şirketi AssetNote, oturum belirteçlerinin nasıl çalınabileceğini gösteren bir kavram kanıtı yayınladı.
Bilgisayar korsanları, dünya çapında Govt Networks'teki saldırılarda Citrix Bleed Kusur kullanıyor
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
Lockbit Fidye Yazılımı Boeing verilerinin gigabaytlarını sızdırıyor
Kyocera Avx, fidye yazılımı saldırısının 39.000 kişiyi etkilediğini söylüyor
Microsoft: Clop Fidye Yazılımı Saldırılarında Suro Sıralı Gün Kusurlu
Kaynak: Bleeping Computer