Er zijn verschillende groepen cybercriminelen die op dit moment kwetsbare Citrix-systemen aanvallen, maar één groep maakt daarbij ook gebruik van de EternalBlue-exploit die de NSA ontwikkelde. Dat meldt securitybedrijf FireEye. De aanvallers gebruiken een kwetsbaarheid in de Citrix Gateway om daarvandaan het achtergelegen bedrijfsnetwerk aan te vallen.
Naast het installeren van een backdoor op het Citrix-systeem maken de aanvallers ook gebruik van de EternalBlue-exploit om achtergelegen machines aan te vallen. Deze door de Amerikaanse geheime dienst NSA ontwikkelde exploit maakt gebruikt van een beveiligingslek in Windows waarvoor sinds maart 2017 een beveiligingsupdate beschikbaar is. Lukt het de aanvallers om toegang tot de overige machines in het bedrijfsnetwerk te krijgen dan wordt de Ragnarok-ransomware geïnstalleerd.
De ransomware versleutelt bestanden en vraagt vervolgens losgeld voor het ontsleutelen van de data. In het geval van Ragnarok gaat het om een bedrag van 8.000 euro voor één computer en 40.000 euro voor alle machines. Wanneer organisaties niet binnen vijf dagen betalen dreigen de aanvallers alle data te verwijderen en op internet te publiceren. Hoewel er nu een groep is ontdekt die het Citrix-lek gebruikt om ransomware te verspreiden gebruiken de meeste aanvallers de kwetsbaarheid om systemen met cryptominers te infecteren, aldus FireEye.
Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn op internet nog altijd 10.000 kwetsbare Citrix-systemen te vinden, zo blijkt uit cijfers. Daarnaast is een veel groter aantal mogelijk al gecompromitteerd omdat de mitigaties niet op tijd werden doorgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.