🧠 Блог посвящен теме VPN и безопасности, конфиденциальности данных в Интернете. Рассказываем про актуальные тренды и новости связанные с защитой.

Вымогательство со стороны программ-вымогателей из-за отсутствия безопасности на VPN-шлюзе Citrix

134

В начале 2020 года в Citrix был обнаружен огромный пробел в безопасности. Теперь появляются первые эпизоды, которые затрагивают пользователей VPN-шлюза, таких как супермаркеты, министерства, офисы и т.д. Все они могут стать жертвами шантажа со стороны вредоносного ПО в их системах. Последней жертвой стала университетская больница Дюссельдорфа. Здесь нападение имело не только финансовые последствия, но и привело к смерти из-за задержки с лечением.

«Шитрикс» обнаружен в начале 2020 года

Название говорит само за себя: в начале этого года «Shitrix» (слабое место в системе удаленного доступа Citrix, которая использовалась для установки бэкдоров) вызвала проблемы.
HiSolutions (немецкие консультанты по безопасности) теперь отследили некоторые атаки шифрования, которые были возможны из-за этих бэкдоров. Даже предложенное в то время обновление программного обеспечения (хотя и очень позднее) бессильно против уже существующих лазеек. Непонятно, сколько таких случаев. Но, конечно, немало, потому что в январе многочисленные исследованные шлюзы Citrix показали наличие вредоносных программ различных типов.

Обновления не помогают против уже установленных бэкдоров

Почти все эти «VPN-шлюзы» были слишком поздно подкреплены обновлениями программного обеспечения, но это не помогает против ранее установленных задних дверей. Только совершенно новые системы считаются безопасными. В ходе нынешней атаки на клинику Дюссельдорфа с шантажом, в результате которой погиб человек, злоумышленники проникли через шлюз Citrix. (Подробнее об этом ниже). Можно предположить, что в сотнях шлюзов Citrix крупных сетей и в этой стране также есть неизвестное количество лазейки.

Подход злоумышленников был неуклюжим

Шантажисты — не гениальные вдохновители. Согласно HiSolutions, они использовали простейшие процедуры и стандартные вредоносные программы для шифрования данных в атакованных системах. Пользователи Citrix не застрахованы от этого. На данный момент таких атак может быть множество. Поэтому HiSolutions рекомендует «проверять системы Citrix NetScaler, в частности, на предмет возможных новых пользователей или подозрительной сетевой активности». Кроме того, пострадавшим следует заглянуть в папку / var / vpn / bookmark, «потому что именно здесь можно найти XML-файлы, переданные злоумышленником».

Создатели бэкдоров — это не шантажисты

Киберпреступники, установившие бэкдоры в начале года, скорее всего, не те, что сейчас шантажируют компании. По крайней мере, так считает эксперт по безопасности Джо Пихлмайр в интервью ORF. Поскольку такие бэкдоры часто являются товаром в даркнете, в целом это происходит правильно на черном рынке, когда речь идет о покупках вредоносных программ и т.д. За деньги здесь можно купить все, что нужно для кибератак. Вот почему бэкдоры Citrix также представляют собой очень высокий риск для массовых (повторных) будущих атак. По словам Пихлмайра, здесь основное внимание уделяется гораздо более «мощным злоумышленникам» с обширным ноу-хау. Б. мог атаковать финансовый сектор. Или они государственные хакеры, такие как группа Lazarus из Северной Кореи, которая зарабатывает кучу денег на вымогательстве программ-вымогателей.

Текущая жертва: Universitätsklink Düsseldorf

Последний инцидент в университетской больнице Дюссельдорфа показывает, что использование задних дверей в Citrix — это не только теоретический вопрос. Здесь «Шитрикс» привел к атаке вымогателя — а значит, даже к смерти! В клинике объясняется, как произошел инцидент: «Уязвимость в системе безопасности была обнаружена в дополнительном коммерческом программном обеспечении, которое широко распространено на рынке и распространяется по всему миру. Пока компания-разработчик программного обеспечения, наконец, не закрыла этот пробел, было достаточно времени, чтобы проникнуть в системы ». Очевидно, университетская клиника также выполнила обновление Citrix, но слишком поздно — так что лазейки уже были созданы. Только совершенно новая настройка системы уничтожила бы все бэкдоры и, следовательно, вымогательства!

Клиника видимо «ошибка» хакеров

Однако кажется, что клиника не должна была стать жертвой. Потому что преступники отозвали шантаж и отправили ключ, когда полиция проинформировала их о том, что был взломан не университет, а больница и что пациенты в опасности. В любом случае, прокуратура расследует «убийство по неосторожности».

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. ПринимаюПодробнее