Los hackers se dirigen a servidores Citrix sin parchar para implementar ransomware


empresa-cierra-debido-a-ransomware-5e16586b81f53e00015e6599-1-ene-09-2020-14-00-23-poster.jpg

Las empresas que aún ejecutan servidores Citrix sin parches corren el riesgo de que sus redes se infecten con ransomware.

Múltiples fuentes en la comunidad infosec informan sobre grupos de hackers que utilizan Vulnerabilidad CVE-2019-19781 en dispositivos Citrix para romper las redes corporativas y luego instalar ransomware.

Infecciones REvil confirmadas

Investigadores de seguridad han confirmado que las infecciones de ransomware que se remontan a servidores Citrix pirateados FireEye y Bajo la brecha.

citrix-tweet-1.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/01/24/1aab66de-f7b8-4943-b91f-d3124e9b288e/citrix-tweet-1.png

La pandilla de ransomware REvil (Sodinokibi) ha sido identificada como uno de los grupos que atacan los servidores Citrix para establecerse en las redes corporativas y luego instalar su cepa de ransomware personalizada.

«Examiné los archivos que la banda REvil publicó en línea desde Gedia.com después de que la compañía se negó a pagar la demanda de rescate», dijeron hoy investigadores de seguridad de Below the Breach.

«Lo interesante que descubrí es que obviamente piratearon Gedia a través del exploit de Citrix».

citrix-files.png "height =" auto "width =" 1200 "src =" https://zdnet3.cbsistatic.com/hub/i/r/2020/01/24/44a34c46-d665-4810-8709-5d652ca433fd /resize/1200xauto/9f89c335b368c6a91a81a7dc76350a2f/citrix-files.png

Imagen: Bajo la brecha

Los rumores no confirmados también afirman que la pandilla de ransomware Maze también está apuntando a servidores Citrix, similar a la pandilla REvil.

Sin embargo, atacar servidores corporativos encaja perfectamente con el modus operandi de la banda REvil. Anteriormente, esta misma pandilla también ha sido aprovechando vulnerabilidades en Pulse Safe VPN para romper las redes corporativas e instalar su ransomware.

Los parches Citrix ahora están ampliamente disponibles

Todos estos ataques tienen lugar después de que los piratas informáticos escanean World-wide-web en busca de dispositivos Citrix que no hayan sido protegidos contra la vulnerabilidad CVE-2019-19781.

Los dispositivos vulnerables incluyen Citrix Software Shipping Controller (ADC), Citrix Gateway y dos versiones anteriores de Citrix SD-WAN WANOP.

La vulnerabilidad fue revelada a mediados de diciembre sin embargo, los ataques en todo el Web comenzaron después del 11 de enero, cuando el código de explotación de prueba de concepto se publicó en línea y estuvo ampliamente disponible para cualquiera.

Inicialmente, los parches no estaban disponibles para la vulnerabilidad CVE-2019-19781. En cambio, Citrix recomendó una serie de mitigaciones que los propietarios del servidor puedan aplicar y asegurar sus dispositivos.

Esas mitigaciones no siempre funcionaron, o muchas compañías no las aplicaron. Con la amplia disponibilidad de código de prueba de concepto, los ataques a los servidores Citrix han sido rampantes en las últimas semanas.

La buena noticia es que hoy temprano, Citrix terminó de publicar parches para todas las versiones vulnerables, lo que significa que las empresas pueden aplicar una solución permanente a sus servidores actualizando a la versión más reciente del firmware de Citrix.

Parchear va bien

Actualmente, el proceso de parchado parece estar yendo bien. En diciembre, el número de sistemas vulnerables period estimado en 80,000 servidores, un número que bajó a aproximadamente 25,000 a mediados de enero, y se redujo a alrededor de 11,000 sistemas, a partir de ayer.

A principios de esta semana, Citrix y FireEye también han colaborado para construir una herramienta que los propietarios de servidores Citrix pueden ejecutar y ver si sus dispositivos han sido pirateados con el exploit CVE-2019-19781, antes de aplicar un parche.

Si la amenaza de infectarse con ransomware no es suficiente para asustar a algunas empresas al aplicar los parches de Citrix para CVE-2019-19781, entonces las empresas también deben tener en cuenta que algunos delincuentes están secuestrando servidores Citrix y vendiendo acceso a sus redes en foros de piratería , según una imagen que investigadores de Underneath the Breach compartieron con ZDNet la semana pasada.

citrix-access.png "height =" auto "width =" 1200 "src =" https://zdnet4.cbsistatic.com/hub/i/r/2020/01/24/a98ef244-0b8f-44da-a932-f6bec2aab86b /resize/1200xauto/b64f7a49393b5cd067350713e3654b73/citrix-access.png

Imagen: Bajo la brecha





Enlace a la noticia first