Allerta Citrix NetScaler: ransomware sfrutta vulnerabilità critica

I sistemi Citrix NetScaler senza patch esposti a Internet sono presi di mira da autori di minacce ransomware.

La società di sicurezza informatica Sophos ha scoperto questa minaccia e pur non avendo ancora individuato chi si nasconda dietro questa campagna, sta monitorando la situazione di ora in ora.

Le supply chain in questione implicano lo sfruttamento di CVE-2023-3519, una vulnerabilità critica che colpisce i server NetScaler ADC che potrebbe facilitare l’esecuzione di codice remoto non autenticato.

In un’intrusione rilevata a metà agosto 2023, è stato possibile analizzare come la falla di sicurezza sia stata utilizzata per condurre un attacco a livello di dominio, attraverso payload e lo sfruttamento di eseguibili legittimi come l’agente di Windows Update wuauclt.exe e  wmiprvse.exe.

Server Citrix NetScaler a rischio: ecco cosa sta succedendo

Stando alle ricerche portate avanti dagli esperti, questo attacco include la distribuzione di script PowerShell offuscati e l’uso di un servizio estone chiamato BlueVPS per la gestione del malware.

Sophos ha affermato che il modus operandi si allinea con quello di una campagna di attacco che Fox-IT del gruppo NCC ha rivelato all’inizio di questo mese in cui sono stati violati quasi 2.000 sistemi Citrix NetScaler.

Sophos ha affermato, in alcuni post sui social network, come “Tutto ciò ci porta a dire che è probabile che si tratti dell’attività di un noto attore di minacce specializzato in attacchi ransomware“.

I ricercatori, poi, hanno consigliato a tutti gli utenti in possesso di dispositivi Citrix NetScaler ADC di applicare le patch per ridurre l’efficacia di potenziali minacce.

Questo tipo di minaccia non deve sorprendere. Le campagne ransomware, infatti, hanno vissuto una vera e propria impennata nel corso del 2023. Il numero sempre maggiore di gruppi hacker e l’adozione dell’IA nel contesto di e-mail phishing e altre potenziali tecniche di distribuzione, non fa altro che rendere ancora più concreto questo pericolo.

Mentre la maggior parte delle bande di ransomware continua a perseguire schemi di doppia o tripla estorsione, è stato osservato che alcuni gruppi passano dalla crittografia a una strategia di furto ed estorsione più semplice, definita attacco di estorsione senza crittografia.