Los sistemas Citrix NetScaler sin parches expuestos a Internet están siendo atacados por actores de amenazas desconocidos en lo que se sospecha que es un ataque de ransomware.
La empresa de ciberseguridad Sophos es seguimiento el grupo de actividades bajo el nombre STAC4663.
Las cadenas de ataques implican la explotación de CVE-2023-3519, una vulnerabilidad crítica de inyección de código que afecta a los servidores NetScaler ADC y Gateway y que podría facilitar la ejecución remota de código no autenticado.
En una intrusión detectada a mediados de agosto de 2023, se dice que la falla de seguridad se utilizó para llevar a cabo un ataque en todo el dominio, incluida la inyección de cargas útiles en ejecutables legítimos como el Agente de actualización de Windows (wuauclt.exe) y el Proveedor de instrumentos de administración de Windows. Servicio (wmiprvse.exe). Se está realizando un análisis de la carga útil.
Otros aspectos notables incluyen la distribución de scripts PowerShell ofuscados, shells web PHP y el uso de un servicio estonio llamado BlueVPS para la preparación de malware.
Sophos dijo que el modus operandi se alinea «estrechamente» con el de una campaña de ataque que NCC Group Fox-IT reveló a principios de este mes en la que casi 2.000 sistemas Citrix NetScaler fueron vulnerados.
También se dice que los ataques están relacionados con un incidente anterior que utilizó las mismas técnicas menos la vulnerabilidad de Citrix. Se puede acceder a los indicadores de compromiso (IoC) asociados con la campaña. aquí.
«Todo esto nos lleva a decir que es probable que se trate de actividad de un conocido actor de amenazas especializado en ataques de ransomware», dijo la compañía en una serie de publicaciones en X.
Se recomienda encarecidamente a los usuarios de dispositivos Citrix NetScaler ADC y Gateway que aplicar los parches para mitigar amenazas potenciales.
El desarrollo se produce cuando el ransomware está en camino de alcanzar nuevos máximos en 2023, a medida que los actores de amenazas están intensificando rápidamente sus ataques en aprovechar las fallas de seguridad en software ampliamente utilizado para violar los entornos de destino.
Esto ha ido acompañado de un aumento de grupos de delitos cibernéticos que generan nuevas cepas de ransomware (p. ej., DoDo, protóny Panda basura), además de actuar más rápidamente para comprometer a las empresas una vez que han obtenido el acceso inicial, una indicación de que los atacantes están mejorando en el proceso de robo y cifrado de datos.
Si bien la mayoría de las bandas de ransomware continúan con esquemas de extorsión doble o triple, se ha observado que algunos grupos pasan del cifrado a una estrategia más simple de robo y extorsión, lo que se conoce como ataque de extorsión sin cifrado.