Le ransomware LockBit exploite une vulnérabilité critique Citrix pour s’introduire dans les entreprises

L’avis conjoint émane de l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA), du Federal Bureau of Investigation (FBI), du Multi-State Information Sharing and Analysis Center (MS-ISAC) et de l’Australian Cyber Security Center de l’Australian Signals Directorate (ASD’s ACSC).

« Citrix Bleed, connu pour être exploité par les affiliés de LockBit 3.0, permet aux acteurs de la menace de contourner les exigences en matière de mot de passe et d’authentification multifactorielle (MFA), ce qui permet de détourner avec succès des sessions d’utilisateurs légitimes sur les appliances Citrix NetScaler web application delivery control (ADC) et Gateway », ont déclaré les agences.

« En prenant le contrôle de sessions d’utilisateurs légitimes, les acteurs malveillants acquièrent des autorisations élevées leur permettant de collecter des informations d’identification, de se déplacer latéralement et d’accéder à des données et à des ressources.

Répertoriée sous le nom de CVE-2023-4966 (score CVSS : 9.4), la vulnérabilité a été corrigée par Citrix le mois dernier, mais pas avant qu’elle ne soit transformée en jour zéro, au moins à partir d’août 2023. Elle a reçu le nom de code Citrix Bleed.

Peu après la divulgation publique, Mandiant, qui appartient à Google, a révélé qu’il suivait quatre groupes différents non catégorisés (UNC) impliqués dans l’exploitation de CVE-2023-4966 pour cibler plusieurs secteurs verticaux en Amérique, dans la région EMEA et dans la région APJ.
Le dernier acteur de la menace à rejoindre le train de l’exploitation est LockBit, qui a été observé en train de tirer parti de la faille pour exécuter des scripts PowerShell et laisser tomber des outils de gestion et de surveillance à distance (RMM) tels que AnyDesk et Splashtop pour des activités de suivi.

Cette évolution souligne une fois de plus le fait que les vulnérabilités dans les services exposés continuent d’être un vecteur d’entrée principal pour les attaques de ransomware.

Cette révélation intervient alors que Check Point a publié une étude comparative des attaques de ransomware ciblant Windows et Linux, notant qu’une majorité des familles qui s’introduisent dans Linux utilisent fortement la bibliothèque OpenSSL ainsi que les algorithmes ChaCha20/RSA et AES/RSA.

« Les ransomwares Linux sont clairement destinés aux moyennes et grandes entreprises, alors que les menaces Windows sont beaucoup plus générales », a déclaré Marc Salinas Fernandez, chercheur en sécurité.

L’examen de diverses familles de ransomwares ciblant Linux « révèle une tendance intéressante à la simplification, où leurs fonctionnalités principales sont souvent réduites à des processus de chiffrement de base, laissant ainsi le reste du travail à des scripts et à des outils système légitimes ».

Selon Check Point, cette approche minimaliste rend ces familles de ransomwares très dépendantes des configurations et des scripts externes, mais elle leur permet également de passer plus facilement inaperçues.