Por: Alejandro García Sainz
Recientemente, un Aviso de Ciberseguridad (CSA) fue emitido por un conjunto de organizaciones líderes en seguridad informática. Esta alerta se centra en una vulnerabilidad llamada Citrix Bleed (identificada como CVE-2023-4966), que afecta a ciertos productos de Citrix, especialmente aquellos relacionados con la gestión web de aplicaciones y los dispositivos NetScaler Gateway. Este aviso es crucial porque proporciona una serie de estrategias y recomendaciones para identificar y responder a esta amenaza, como la necesidad de aplicar parches de seguridad lo antes posible. Además, se incluye una guía completa llamada StopRansomware para ayudar a las organizaciones a prevenir y manejar
situaciones de ransomware.
La reciente publicación de este aviso de ciberseguridad es un recordatorio crucial de la importancia de estar siempre alerta en el ámbito digital. La colaboración entre gigantes de la ciberseguridad como la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el FBI, el Centro de Análisis e Intercambio de Información Multi-Estatal (MS-ISAC), y el Centro Australiano de Seguridad Cibernética (ASD’s ACSC), subraya la seriedad de la amenaza.
Este ataque involucra una dinámica particular entre los desarrolladores del ransomware LockBit 3.0 y sus afiliados; que se puede tomar como un ejemplo claro de cómo las operaciones de ciberdelincuencia han evolucionado para convertirse en empresas criminales altamente sofisticadas y organizadas. Este modelo de “ransomware como servicio” (RaaS) permite que incluso aquellos ciberdelincuentes con habilidades técnicas limitadas puedan lanzar ataques, ya que el software necesario se les proporciona a través de una especie de asociación con los desarrolladores de LockBit 3.0.
Los afiliados, responsables de ejecutar los ataques, eligen los objetivos y gestionan la intrusión y el bloqueo de los sistemas. Luego, exigen un rescate, generalmente en criptomonedas, por la liberación de los datos secuestrados. Esta preferencia por las criptomonedas no es casual: su naturaleza descentralizada y el relativo anonimato que ofrecen las hacen ideales para transacciones ilícitas.
Lo que es preocupante es cómo este modelo ha bajado la barrera de entrada para participar en actividades de ransomware, aumentando así el número de actores maliciosos en el ciberespacio. Además, la distribución de ganancias entre los desarrolladores de LockBit y sus afiliados crea un ecosistema criminal autosostenible, incentivando más ataques y una constante evolución del malware.
Este escenario subraya la urgencia de que las organizaciones mejoren sus medidas de ciberseguridad y mantengan una vigilancia constante. La clave está no solo en la implementación de soluciones tecnológicas avanzadas, sino también en promover una cultura de seguridad informática entre los empleados. Es esencial adoptar buenas prácticas, como mantener los sistemas actualizados, realizar copias de seguridad frecuentes y capacitar al personal en el reconocimiento de ataques de phishing y otras estrategias comunes de ciberataques.
El caso de los clientes de Citrix Systems, líder en soluciones de virtualización y entrega de aplicaciones, ilustra la magnitud del riesgo. En este caso particular se ven afectados los usuarios de NetScaler: un producto de Citrix diseñado para mejorar y asegurar la entrega de servicios empresariales y de nube. Actúa como un Controlador de Entrega de Aplicaciones (ADC), lo que significa que optimiza la disponibilidad de aplicaciones, reduce la carga en los servidores y proporciona un acceso remoto seguro. Este tipo de tecnología es fundamental en el entorno empresarial actual, donde la eficiencia y seguridad en la entrega de aplicaciones son críticas para el funcionamiento de los negocios. La reciente vulnerabilidad identificada en NetScaler, sin embargo, pone en relieve la necesidad de medidas de seguridad rigurosas para proteger estas infraestructuras esenciales.
El flujo de este ataque podría resumirse de la siguiente manera:
1. Cuando se explota el Citrix Bleed, los agresores pueden obtener accesso no autorizado a
la red o la capacidad de interrumpir los servicios de los dispositivos NetScaler de Citrix.
2. Si los atacantes obtienen acceso, pueden navegar la red para obtener y encriptar datos valiosos o sistemas.
3. Una vez identificados los sistemas y/o datos, se despliega LockBit para encriptarlos, haciéndolos inaccesibles. Adicionalmente, LockBit puede extraer datos, potencialmente provocando una fuga de datos.
4. Seguido de esto, los operadores de LockBit dejan una nota de rescate en los sistemas, donde declaran lo que se debe pagar a cambio de las llaves de desencriptación. Generalmente este pago es en criptomonedas como Bitcoin.
5. En el contexto de NetScaler, esto puede interrumpir sus funciones como la entrega de aplicaciones, equilibrio de carga (load balancing), y exponer datos sensibles.
Este ejemplo debe servir como una advertencia para todas las organizaciones que confían en la tecnología digital. Resulta imperativo atender a los avisos de seguridad y adoptar un enfoque proactivo para la protección contra amenazas cibernéticas. En el mundo conectado de hoy, la responsabilidad de la ciberseguridad recae en todos los participantes del ecosistema digital, no solo en las compañías especializadas en tecnología.
Fuentes:
-https://www.cisa.gov/news-events/alerts/2023/11/21/cisa-fbi-ms-isac-and-asds-acsc-release-advisory-lockbit-affiliates-exploiting-citrix-bleed
-https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a
-https://www.cisa.gov/stopransomware/ransomware-guide