La Cybersecurity and Infrastructure Security Agency (CISA) et le FBI, en coordination avec l'Australian Cyber Security Centre, ont publié un avis actualisé sur l'exploitation de la vulnérabilité Citrix (NASDAQ:CTXS) Bleed par le ransomware LockBit 3.0. Ce groupe de cybercriminels lié à la Russie a ciblé une filiale de Boeing (NYSE:BA) Co. en utilisant une faille précédemment non détectée dans les systèmes Citrix, qui a été secrètement exploitée pendant des semaines avant d'être corrigée en octobre 2023.
L'avis mis à jour comprend des informations sur les attaques initiales qui ont précédé les efforts déployés en octobre pour corriger la vulnérabilité, connue sous le nom de CVE-2023-4966. Mandiant a confirmé ces premières attaques, et les détails ont été fournis sur la base de la rencontre de Boeing Distribution Inc. avec cette souche spécifique de ransomware. Eric Goldstein, directeur adjoint de la CISA, a révélé les indicateurs de compromission (IOC) et les tactiques, techniques et procédures (TTP) observés au cours de l'incident.
Au début du mois, LockBit a adressé une demande de rançon à Boeing le 2 novembre et a brièvement retiré l'entreprise de son site de fuite de données, avant de la réinscrire sur la liste avec une nouvelle date limite fixée au 10 novembre. Cette décision laisse supposer que des négociations sur la rançon étaient en cours. Bien que Boeing ait reconnu l'existence d'un problème de cybersécurité dans sa filiale de distribution, l'entreprise n'a pas fourni de précisions sur le ransomware ni sur son lien avec Citrix Bleed à ce moment-là.
La collaboration entre Boeing et le FBI a été cruciale pour alerter près de 300 entités sur les vulnérabilités de leurs systèmes, ce qui a joué un rôle important dans la réponse à cette menace de cybersécurité. Eric Goldstein, de la CISA, a souligné que les cybercriminels et les acteurs des États-nations pouvaient exploiter Citrix Bleed pour voler des données ou accéder plus facilement aux réseaux. Il a également félicité Boeing pour sa collaboration entre les secteurs public et privé à la suite de l'attaque LockBit contre Boeing Distribution Inc. qui a fourni à la CISA des données techniques importantes.
LockBit 3.0 a participé à plusieurs cyberattaques très médiatisées, notamment contre ICBC, Royal Mail (LON:IDSI) au Royaume-Uni et une entreprise britannique de technologie financière. Après qu'une cyberattaque a mis hors ligne le site web des pièces détachées de Boeing en octobre 2023, LockBit a mis en ligne de prétendus documents de l'entreprise après l'expiration du délai initial de paiement de la rançon. Boeing maintient qu'il n'y a pas de risque pour la sécurité des vols à la suite de cette violation.
Cet article a été généré et traduit avec l'aide de l'IA et revu par un rédacteur. Pour plus d'informations, consultez nos T&C.