La Cybersecurity and Infrastructure Security Agency (CISA) e l'FBI, in coordinamento con l'Australian Cyber Security Centre, hanno emesso un avviso aggiornato sullo sfruttamento della vulnerabilità Citrix Bleed da parte del ransomware LockBit 3.0. Questo gruppo di criminalità informatica legato alla Russia ha preso di mira una filiale di Boeing (NYSE:BA) Co. utilizzando una falla precedentemente non rilevata nei sistemi Citrix che è stata sfruttata segretamente per settimane prima di essere patchata nell'ottobre 2023.
L'avviso aggiornato include approfondimenti sugli attacchi iniziali che hanno preceduto gli sforzi di ottobre per applicare la patch alla vulnerabilità, nota come CVE-2023-4966. Mandiant ha confermato questi primi attacchi e i dettagli sono stati forniti sulla base dell'incontro di Boeing Distribution Inc. con questo specifico ceppo di ransomware. Eric Goldstein, vicedirettore esecutivo del CISA, ha rivelato gli indicatori di compromissione (IOC) e le tattiche, tecniche e procedure (TTP) osservate durante l'incidente.
All'inizio del mese, LockBit ha inviato una richiesta di riscatto a Boeing il 2 novembre e ha brevemente rimosso l'azienda dal suo sito di fuga di dati, per poi inserirla nuovamente nell'elenco con una nuova scadenza fissata al 10 novembre. Questa mossa ha suggerito che potrebbero essere in corso trattative per il riscatto. Sebbene Boeing abbia riconosciuto un evento di cybersicurezza presso la sua filiale di distribuzione, in quel momento non ha fornito informazioni specifiche sul ransomware o sul suo collegamento con Citrix Bleed.
La collaborazione tra Boeing e l'FBI è stata fondamentale per allertare quasi 300 entità sulle vulnerabilità dei loro sistemi, che hanno svolto un ruolo significativo nella risposta a questa minaccia alla sicurezza informatica. Eric Goldstein del CISA ha sottolineato la possibilità che i criminali informatici e gli attori degli Stati nazionali sfruttino Citrix Bleed per il furto di dati o per ottenere un ulteriore accesso alle reti. Ha inoltre elogiato Boeing per la sua collaborazione tra settore pubblico e privato a seguito dell'attacco LockBit a Boeing Distribution Inc. che ha fornito al CISA dati tecnici significativi.
LockBit 3.0 ha partecipato a diversi attacchi informatici di alto profilo, tra cui quelli contro la ICBC, la Royal Mail (LON:IDSI) del Regno Unito e una società fintech britannica. Dopo che un attacco informatico ha messo offline il sito web delle parti di Boeing nell'ottobre 2023, LockBit ha rilasciato online documenti aziendali presunti dopo la scadenza del termine iniziale per il riscatto. Boeing sostiene che questa violazione non comporta alcun rischio per la sicurezza dei voli.
Questo articolo è stato generato e tradotto con il supporto dell'intelligenza artificiale e revisionato da un redattore. Per ulteriori informazioni, consultare i nostri T&C.