Malfeitores continuam buscando vulnerabilidades antigas em aplicações Citrix para infectar organizações com ransomware, diz alerta do FBI. Vulnerabilidades antigas em firewalls da Palo Alto Networks e dispositivos BIG-IP F5 também estão sendo buscadas. Juntamente com a agência cibernética americana CISA, o FBI está solicitando que as organizações instalem atualizações para essas vulnerabilidades sob ataque: CVE-2024-3400 (CVSS grau 10), CVE-2022-1388 (CVSS 9.8), CVE-2019-19781 (CVSS 9.8) e CVE-2023-3519 (CVSS 9.8).
Leia também
O FBI disse que os ataques foram obra de um grupo que opera no Irã e teve como alvo instituições educacionais, instituições financeiras, provedores de saúde, contratantes de defesa e governos. Para obter acesso aos sistemas, o grupo usa as vulnerabilidades mencionadas acima. Em seguida, é feita uma tentativa de comprometer ainda mais a rede.
Os invasores instalam o programa de acesso remoto AnyDesk como um backup para manter o acesso aos sistemas. O Windows PowerShell Web Access também está habilitado nos servidores. Além disso, os invasores usam a ferramenta de tunelamento Ligolo e NGROK para conexões de saída. Além de instalar atualizações, o FBI e a CISA aconselham as organizações a verificar os endereços IP usados pelos invasores no tráfego de rede e a verificar outros indicadores de comprometimento.
