Los sistemas Citrix NetScaler sin parches expuestos a Internet est\u00e1n siendo atacados por actores de amenazas desconocidos en lo que se sospecha que es un ataque de ransomware.<\/p>\n
La empresa de ciberseguridad Sophos es seguimiento<\/a> el grupo de actividades bajo el nombre STAC4663<\/strong>.<\/p>\n Las cadenas de ataques implican la explotaci\u00f3n de CVE-2023-3519, una vulnerabilidad cr\u00edtica de inyecci\u00f3n de c\u00f3digo que afecta a los servidores NetScaler ADC y Gateway y que podr\u00eda facilitar la ejecuci\u00f3n remota de c\u00f3digo no autenticado.<\/p>\n En una intrusi\u00f3n detectada a mediados de agosto de 2023, se dice que la falla de seguridad se utiliz\u00f3 para llevar a cabo un ataque en todo el dominio, incluida la inyecci\u00f3n de cargas \u00fatiles en ejecutables leg\u00edtimos como el Agente de actualizaci\u00f3n de Windows (wuauclt.exe) y el Proveedor de instrumentos de administraci\u00f3n de Windows. Servicio (wmiprvse.exe). Se est\u00e1 realizando un an\u00e1lisis de la carga \u00fatil.<\/p>\n Otros aspectos notables incluyen la distribuci\u00f3n de scripts PowerShell ofuscados, shells web PHP y el uso de un servicio estonio llamado BlueVPS para la preparaci\u00f3n de malware.<\/p>\n Sophos dijo que el modus operandi se alinea “estrechamente” con el de una campa\u00f1a de ataque que NCC Group Fox-IT revel\u00f3 a principios de este mes en la que casi 2.000 sistemas Citrix NetScaler fueron vulnerados.<\/p>\n Tambi\u00e9n se dice que los ataques est\u00e1n relacionados con un incidente anterior que utiliz\u00f3 las mismas t\u00e9cnicas menos la vulnerabilidad de Citrix. Se puede acceder a los indicadores de compromiso (IoC) asociados con la campa\u00f1a. aqu\u00ed<\/a>.<\/p>\n “Todo esto nos lleva a decir que es probable que se trate de actividad de un conocido actor de amenazas especializado en ataques de ransomware”, dijo la compa\u00f1\u00eda en una serie de publicaciones en X.<\/p>\n Se recomienda encarecidamente a los usuarios de dispositivos Citrix NetScaler ADC y Gateway que aplicar los parches<\/a> para mitigar amenazas potenciales.<\/p>\n El desarrollo se produce cuando el ransomware est\u00e1 en camino de alcanzar nuevos m\u00e1ximos en 2023, a medida que los actores de amenazas est\u00e1n intensificando r\u00e1pidamente sus ataques en aprovechar las fallas de seguridad<\/a> en software ampliamente utilizado para violar los entornos de destino.<\/p>\n Esto ha ido acompa\u00f1ado de un aumento de grupos de delitos cibern\u00e9ticos que generan nuevas cepas de ransomware (p. ej., DoDo, prot\u00f3n<\/a>y Panda basura<\/a>), adem\u00e1s de actuar m\u00e1s r\u00e1pidamente para comprometer a las empresas una vez que han obtenido el acceso inicial, una indicaci\u00f3n de que los atacantes est\u00e1n mejorando en el proceso de robo y cifrado de datos.<\/p>\n Si bien la mayor\u00eda de las bandas de ransomware contin\u00faan con esquemas de extorsi\u00f3n doble o triple, se ha observado que algunos grupos pasan del cifrado a una estrategia m\u00e1s simple de robo y extorsi\u00f3n, lo que se conoce como ataque de extorsi\u00f3n sin cifrado.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/European-Bank-Customers-Targeted-in-SpyNote-Android-Trojan-Campaign.png\")
<\/a><\/center><\/section>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\")
<\/a><\/center><\/section>\n