Vulnerabilidades habrían permitido el ciberataque contra el banco ICBC. El problema: una posible nueva colaboración entre Cl0p y LockBit.
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
El banco más grande del mundo, el Banco Industrial y Comercial de China (ICBC) de China, ha sido vulnerado.
Ha sido tal el nivel del ataque que ICBC ha estado haciendo uso de mensajeros, que transportan información en memorias USB con detalles de acuerdos comerciales, a las oficinas de sus clientes corporativos. Todo esto después de un ataque de ransomware esta semana que sacudió a los mercados y que, además, puede haber ocurrido después de que ICBC no lograra instalar los parches de seguridad relacionados con una vulnerabilidad de Citrix.
El grupo cibercriminal de ransomware LockBit ha sido el responsable del ataque contra la sucursal estadounidense de ICBC, el cual tuvo lugar el 8 de noviembre y provocó la interrupción de ciertos sistemas. De acuerdo con la documentación del acontecimiento, inmediatamente después de descubrir el incidente, el personal de seguridad de ICBC desconectó y aisló los sistemas afectados para contener el impacto, que ha sido similar al ejecutado por el mismo grupo cibercriminal contra la institución financiera de créditos hipotecarios e inmobiliarios, ION, a principios de este año, en un suceso que también trastornó los mercados financieros.
Parte de la información encontrada sobre el incidente ha mostrado que, por ejemplo, en búsqueda hechas en Shodan, la unidad estadounidense de ICBC había dejado el dispositivo de Citrix Netscaler sin parches de seguridad para la vulnerabilidad Citrix Bleed (CVE-2023-4966), que se ha utilizado en campañas de explotación activa y dirigida en últimas semanas. Cabe señalar que Shodan es un motor de búsqueda de Internet que permite a los usuarios buscar dispositivos conectados a Internet. El motor de búsqueda utiliza una base de datos de más de 100 mil millones de dispositivos, incluyendo cámaras web, routers, servidores, y otros tipos de dispositivos.
La explotación exitosa de la vulnerabilidad Citrix Bleed permite que los atacantes tomen el control de sesiones que eluden la contraseña y la autenticación multifactor. La vulnerabilidad Citrix Bleed CVE-2023-4966 se reveló el 10 de octubre como una falla de gravedad crítica que afecta a Citrix NetScaler ADC y NetScaler Gateway, permitiendo el acceso a información confidencial en los dispositivos.
Además, en una reciente serie de ataques de ransomware por parte del grupo cibercriminal Cl0p, se encontró que también aprovecharon la vulnerabilidad CVE-2023-47246, un nuevo día cero crítico en el software de gestión de servicios de tecnología de información de SysAid, el cual se informó por primera vez el mismo día en que ICBC fue atacado y vincularía la explotación de las vulnerabilidades de manera simultánea.
Los grupos de ransomware como LockBit y Cl0p han impulsado un aumento significativo de los ataques en los últimos meses debido a su incesante explotación de vulnerabilidades conocidas y de día cero.
Por ejemplo, ambos grupos han explotado activamente las vulnerabilidades de servidores de aplicaciones Papercut, aprovechando que muchos de estos servidores no han sido actualizados. Al estar detrás de estos ataques buscan robar datos corporativos de los servidores vulnerables.
PaperCut es un software de gestión de impresión, lo utilizan grandes empresas, organizaciones estatales e institutos educativos; el sitio web de la empresa afirma que lo utilizan cientos de millones de personas de más de 100 países.
De igual forma, Cl0p y LockBit, llevaron a cabo recientemente varios ataques distintos, explotando tres vulnerabilidades conocidas: CVE-2023-27351, CVE-2023-27350 y CVE-2023-0669, lo cual es indicio de que estos grupos podrían estar trabajando en conjunto o, al menos, compartiendo información y recursos para ejecutar sus ataques.
Por lo anterior, se ha alentado a las organizaciones a que puedan instalar urgentemente los parches de seguridad distribuidos por SysAid y Citrix, ya que la explotación de las vulnerabilidades que presentan tiene el potencial de convertirse en importantes ataques contra la cadena de suministro.
Para más información, visite: https://www.silikn.com/