ИБ-эксперты предупреждают, что вымогательская группировка LockBit использует общедоступные эксплоиты уязвимости Citrix Bleed (CVE-2023-4966) для атак на крупные организаций, кражи данных и шифрования файлов. Разработчики Citrix выпустили патч для CVE-2023-4966 более месяца назад, однако в интернете по-прежнему можно обнаружить тысячи устройств, уязвимых перед этой проблемой.
Известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) изучил недавние атаки на Промышленный и коммерческий банк Китая (ICBC), DP World и Boeing, и пришел к выводу, что у пострадавших организаций есть кое-что общее: доступные через интернет серверы Citrix, уязвимые перед проблемой Citrix Bleed, которую, по его словам, активно использует хакерская группировка LockBit.
Выводы Бомонта подтверждает издание Wall Street Journal, в распоряжении которого оказалось электронное письмо Минфина США, недавно разосланное некоторым поставщикам финансовых услуг. В документе упоминается, что именно LockBit ответственна за кибератаку на ICBC, и взлом был осуществлен с помощью уязвимости Citrix Bleed.
Поскольку LockBit является крупнейшим шифровальщиком, работающим по схеме Ransomware-as-a-Service («Вымогатель-как-услуга»), он привлекает множество партнеров, которые имеют полную свободу действий при проникновении в сети жертв. Поэтому, вероятнее всего, за упомянутыми атаками стоят не сами создатели малвари, а один из партнеров, использующий свежую уязвимость для взлома.
Издание Bleeping Computer сообщает, что в настоящее время более 10 400 серверов Citrix все еще уязвимы перед CVE-2023-4966, хотя с момента выхода патча прошло более месяца. Большинство из этих серверов, 3133, находятся в США, далее следуют 1228 серверов в Германии, 733 в Китае, 558 в Великобритании, 381 в Австралии, 309 в Канаде, 301 во Франции, 277 в Италии, 252 в Испании, 244 в Нидерландах и 215 в Швейцарии.
По данным журналистов, зачастую уязвимые серверы принадлежат крупным организациям и предприятиям критической инфраструктуры этих и многих других стран мира.
