La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el FBI, en coordinación con el Centro Australiano de Ciberseguridad, han publicado un aviso actualizado sobre la explotación de la vulnerabilidad Citrix (NASDAQ:CTXS) Bleed por el ransomware LockBit 3.0. Este grupo cibercriminal vinculado a Rusia tuvo como objetivo una filial de Boeing (NYSE:BA) Co. utilizando un fallo no detectado previamente en Citrix Systems que fue explotado en secreto durante semanas antes de ser parcheado en octubre de 2023.
El aviso actualizado incluye información sobre los ataques iniciales que precedieron a los esfuerzos de octubre por parchear la vulnerabilidad, conocida como CVE-2023-4966. Mandiant confirmó estos primeros ataques, y se proporcionaron detalles basados en el propio encuentro de Boeing Distribution Inc. con esta cepa específica de ransomware. Eric Goldstein, subdirector ejecutivo de CISA, reveló los indicadores de compromiso (IOC) y las tácticas, técnicas y procedimientos (TTP) observados durante el incidente.
A principios de este mes, LockBit emitió una petición de rescate a Boeing el 2 de noviembre y retiró brevemente a la empresa de su sitio de filtración de datos, sólo para volver a incluirla en la lista con un nuevo plazo fijado para el 10 de noviembre. Este movimiento sugirió que podría haber habido negociaciones de rescate en curso. Aunque Boeing reconoció que se había producido un incidente de ciberseguridad en su filial de distribución, no dio detalles concretos sobre el ransomware o su conexión con Citrix Bleed en ese momento.
La colaboración entre Boeing y el FBI fue crucial para alertar a casi 300 entidades sobre las vulnerabilidades de sus sistemas, lo que desempeñó un papel importante en la respuesta a esta amenaza de ciberseguridad. Eric Goldstein, de CISA, destacó la posibilidad de que tanto los ciberdelincuentes como los agentes de los estados-nación exploten Citrix Bleed para robar datos u obtener más acceso a las redes. También elogió a Boeing por su colaboración con el sector público y privado tras el ataque LockBit a Boeing Distribution Inc, que proporcionó a CISA importantes datos técnicos.
LockBit 3.0 ha participado activamente en varios ciberataques de gran repercusión, como los perpetrados contra el ICBC (HK:1398), el Royal Mail (LON:IDSI) británico y una empresa británica de tecnología financiera. Después de que un ciberataque dejara fuera de servicio el sitio web de piezas de Boeing en octubre de 2023, LockBit publicó en línea supuestos documentos de la empresa tras el vencimiento del plazo inicial para el rescate. Boeing mantiene que no hay riesgo para la seguridad de los vuelos derivado de esta brecha.
Este artículo ha sido generado y traducido con el apoyo de AI y revisado por un editor. Para más información, consulte nuestros T&C.