Los adolescentes con “bazucas digitales” están ganando la guerra del ransomware, lamenta un investigador

¿Qué tienen en común Boeing, una compañía naviera australiana, el banco más grande del mundo y una de las firmas de abogados más grandes del mundo? Los cuatro han sufrido violaciones de seguridad cibernética, muy probablemente a manos de piratas informáticos adolescentes, después de no poder solucionar una vulnerabilidad crítica sobre la que los expertos en seguridad han advertido durante más de un mes, según una publicación publicada el lunes.

Además del fabricante estadounidense de aviones de pasajeros, entre las víctimas se encuentran DP World, la filial australiana de la empresa de logística DP World con sede en Dubai; Banco Industrial y Comercial de China; y Allen & Overy, una firma de abogados multinacional, según Kevin Beaumont, un investigador de seguridad independiente con una de las visiones más completas del panorama de la ciberseguridad. Las cuatro empresas han confirmado que sucumbieron a incidentes de seguridad en los últimos días y, según se informa, el ICBC de China pagó un rescate no revelado a cambio de claves de cifrado de datos que no han estado disponibles desde entonces.

Citando datos que permiten el seguimiento de operadores de ransomware y personas familiarizadas con las infracciones, Beaumont dijo que las cuatro empresas se encuentran entre las 10 víctimas que, según su conocimiento, actualmente están siendo extorsionadas por LockBit, uno de los sindicatos criminales de ransomware más prolíficos y dañinos del mundo. Las cuatro empresas, dijo Beaumont, eran usuarios de un producto de red conocido como Citrix Netscaler y no habían parcheado una vulnerabilidad crítica a pesar de que había un parche disponible desde el 10 de octubre.

La vulnerabilidad, denominada CitrixBleed y con una clasificación de gravedad de 9,4 sobre 10 posibles, es fácil de explotar y expone tokens de sesión que permiten eludir todos los controles de autenticación multifactor dentro de una red vulnerable. Los atacantes se quedan con el equivalente a una computadora de escritorio de apuntar y hacer clic dentro de la red interna de la víctima afectada, donde luego pueden deambular libremente.

Beaumont escribió:

Los grupos de ransomware suelen estar integrados casi exclusivamente por adolescentes y durante demasiado tiempo no se les ha tomado en serio como una amenaza. Son una amenaza para la sociedad civil mientras las organizaciones sigan pagando.

Centrarse en los fundamentos de la ciberseguridad para las organizaciones de escala empresarial es un desafío, ya que a menudo las personas persiguen lo que perciben como el próximo gran avance: metaverso (¿recuerdan eso?), NFT, IA generativa, sin poder hacer bien los fundamentos. Las empresas de gran escala deben poder corregir rápidamente vulnerabilidades como CitrixBleed.

La realidad de la ciberseguridad en la que vivimos ahora es que los adolescentes corren en bandas del crimen organizado con bazucas digitales. Probablemente tengan un mejor inventario de activos de su red que usted y no tienen que esperar 4 semanas para que 38 personas aprueben una solicitud de cambio para parchear 1 cosa.

Conozca los límites de su red y los productos riesgosos tan bien como LockBit. Debe poder identificar y parchear algo como CitrixBleed en un plazo de 24 horas; si no puede, existe una posibilidad muy real de que no sea el producto ideal para su organización debido al nivel de riesgo que representa, y debe Reconsidere si la arquitectura de su casa es adecuada para su propósito.

Los proveedores como Citrix necesitan tener declaraciones claras de intenciones para proteger sus productos, ya que acumular parche tras parche tras parche no es sostenible para muchas organizaciones, o los clientes deberían optar con sus billeteras por soluciones más probadas. La realidad es que muchos proveedores están enviando productos de electrodomésticos con estándares de ciberseguridad peores que cuando comencé mi carrera a finales de los años 90, y al mismo tiempo se promocionan como expertos. El marketing es una droga increíble.

Beaumont citó los resultados de la consulta devueltos por el servicio de búsqueda Shodan que indicaban que las cuatro organizaciones no habían parcheado CitrixBleed en el momento en que fueron pirateadas. La vulnerabilidad se rastrea como CVE-2023-4966.