Citrix Systems, Inc. er et amerikansk multinasjonalt programvareselskap som tilbyr server-, applikasjons- og skrivebordsvirtualisering, nettverk, programvare som en tjeneste (SaaS) og cloud computing-teknologier. Citrix-løsninger hevdes å være i bruk av over 400 000 kunder over hele verden, inkludert 99 % av Fortune 100-selskaper og 98 % av Fortune 500-selskaper.
Angrepet
I mars måned varslet FBI Citrix om at iranske basehackere med navnet Iridium hadde angrepet selskapets interne nettverk og stjålet / lastet ned 6 TB med svært sensitive opplysninger. De utnyttet en kombinasjon av verktøy, teknikker og prosedyrer som gjorde at de kunne utføre nettverksinntrenging slik at de kunne få tilgang til nettverk.
«Citrix beklager dypt virkningen denne hendelsen kan ha på berørte kunder. Citrix er forpliktet til å oppdatere kundene med mer informasjon etter hvert som etterforskningen fortsetter, og til å fortsette å jobbe med de relevante rettshåndhevelsesmyndighetene», sier Black, CSIO i Citrix.
Hackertaktikk
Ifølge FBI brukte hackeren en taktikk kjent som password spraying og credential stuffing. Password spraying er en teknikk som brukes for et cyberangrep mot et svakt passord for å kompromittere det første sikkerhetsnivået og deretter gå videre for å bryte det ekstra sikkerhetslaget. Credential stuffing innebærer å stjele et passord fra datadumper og bruke dem for å få tilgang til andre tjenester som kompromitterer sikkerheten og tjenestene. På denne måten klarte hackere å få tilgang til og laste ned de sensitive filene.
Etterundersøkelsesrapport
Basert på etterforskningen bekreftet Citrix at hackere hadde periodisk tilgang til selskapets nettverk mellom 13. oktober 2018 til 8. mars 2019, og de har fjernet filer fra Citrix interne system. Stjålne opplysninger inneholder informasjon om nåværende og tidligere ansatte og informasjon om mottakerne, personnummer og økonomisk informasjon.
Sikkerhetstiltak for å forhindre slikt databrudd:
1. Aktiver multifaktorautentisering (f.eks. Google Keys).
2. Aktiver captcha i noen situasjoner.
3. Svarteliste IP-en som stammer fra noen få (eller én) IP-adresser. Blokker adresser som prøver å logge på flere kontoer.
4. Generer varsler for kontoen hvis terskelgrense er nådd til maksimum.
5. Varsle brukere og bekymringsteam om de uvanlige sikkerhetshendelsene.
6. Vedta policyen for flertrinns påloggingsprosess for (f.eks. 2AF og multifaktorautentisering).
7. Begrens tilgangen utenfor kontoret.
8. Forby enkelt passord og lær brukere å bruke et komplekst passord med passordbehandlere.
Citrix sin løsning og fremtidig forebygging
For å finne en løsning på dette databruddet og fremtidig forebygging inngikk Citrix et samarbeid med et ledende cybersikkerhetsfirma for å hjelpe deres interne team med deres etterretningstekniske etterforskning. De samarbeider også med FBI i forbindelse med deres etterforskning av nettkriminelle.
Føler du deg trygg nok for dine sensitive opplysninger?
Hvis nei, skynd deg og få gratis sikkerhetsvurdering fra oss.
