Citrix confirma un acceso no autorizado a su red interna

  • Actualidad

La investigación concluye que los ciberdelincuentes tuvieron acceso a través de la técnica 'password spraying', que explota contraseñas débiles. Una vez en la red, robaron principalmente documentos y archivos de una unidad de red compartida de la empresa.

El 8 de marzo, Citrix reveló que ciberdelincuentes internacionales habían obtenido acceso a su red interna. Tras detectar el incidente, los equipos internos de la compañía han trabajado con los principales expertos en respuesta a ciberataques, incluido FireEye Mandiant, así como con el FBI, para descubrir los medios de ataque utilizados por los ciberdelincuentes, determinar el alcance de la intrusión, monitorizar la red en medio de un panorama de amenazas en constante evolución y planificar mejoras de seguridad a largo plazo.

Una vez concluida la investigación, Citrix confirma que los ciberdelincuentes obtuvieron acceso a su red interna mediante ‘password spraying’, una técnica que explota contraseñas débiles. Una vez en la red, los ciberdelincuentes accedieron de forma intermitente y, durante un número limitado de días entre el 13 de octubre de 2018 y el 8 de marzo de 2019, para robar principalmente documentos y archivos de una unidad de red compartida de la empresa que se ha utilizado para almacenar documentos de negocio históricos, así como una unidad asociada con una herramienta basada en web utilizada en la práctica de consultoría.

Los ciberdelincuentes también pueden haber accedido a las unidades virtuales individuales y a las cuentas de correo electrónico empresariales de un número muy limitado de usuarios comprometidos y lanzar sin mayor explotación un número limitado de aplicaciones internas.

“Es importante destacar que no encontramos ningún compromiso o exfiltración más allá de lo que se ha divulgado anteriormente. Los ciberdelincuentes han sido expulsados de nuestros sistemas. No hay indicios de que la seguridad de ningún producto Citrix o servicio cloud del cliente haya sido afectada. Finalmente, determinamos que los ciberatacantes no descubrieron ni explotaron ninguna vulnerabilidad en nuestros productos o servicios para tener acceso”, afirman desde Citrix.

Los expertos están revisando cuidadosamente los documentos y archivos a los que se pudo acceder o que fueron robados en este incidente. Ya se ha notificado, o en breve se notificará al número limitado de clientes que pueden necesitar adoptar medidas de protección adicionales.

En los últimos meses, Citrix ha tomado medidas importantes para proteger sus sistemas y mejorar los protocolos. Ha realizado un restablecimiento de contraseña global, mejorado su administrador de contraseñas interno y fortalecido los protocolos de contraseñas. Además, ha mejorado el registro en el firewall, aumentado las capacidades de monitoreo de exfiltración de datos, eliminado el acceso interno a servicios no esenciales basados en la web, y deshabilitado vías de transferencia de datos no esenciales. También implementaron la tecnología de agente de punto final de FireEye en los sistemas para proporcionar una capa de defensa adicional.