Citrix Systems, Inc. är ett amerikanskt multinationellt programvaruföretag som tillhandahåller servrar, tillämpnings- och datorvirtualiseringar, nätverk, programvara som tjänst (SaaS) och molntekniker. Citrix lösningar påstås användas av över 400 000 kunder runt om i världen, inklusive 99 procent av företagen på Fortune 100 och 98 procent av dem på Fortune 500.
Attacken
I mars månad varnade FBI Citrix för att en grupp Iran-baserade hackare som kallas Iridium hade attackerat företagets interna nätverk och stulit/nedladdat 6 TB mycket känsliga data. De hade utnyttjat en kombination av verktyg, tekniker och procedurer för att göra intrång i nätverket och därmed få tillgång till nätverket.
”Citrix beklagar djupt den påverkan incidenten kan ha haft på berörda kunder. Citrix strävar efter att uppdatera kunderna med mer information allt eftersom undersökningen fortskrider och fortsätter att arbeta tillsammans med relevanta polismyndigheter”, säger Black, CSIO på Citrix.
Hackartaktik
Enligt FBI använde hackaren en taktik som kallas password spraying och stulen inloggningsattack (credential stuffing). Password spraying är en teknik som används vid cyberattacker mot ett svagt lösenord för att kompromettera den första säkerhetsnivån och därefter gå vidare och bryta nästa säkerhetslager. En stulen inloggningsattack (credential stuffing) handlar om att man stjäl ett lösenord från datadumpar och sedan använder dem för att få tillgång till andra tjänster och därmed komprometterar säkerheten och tjänsterna. På så sätt lyckades hackare ta sig in och kunde ladda ned de känsliga filerna.
Rapport efter undersökningen
Baserat på den undersökning som gjorts bekräftade Citrix att hackare haft intermittent åtkomst till företagets nätverk mellan 13 oktober 2018 och 8 mars 2019 och att de avlägsnat filer från Citrix interna system. De stulna data innehåller information om nuvarande och tidigare anställda samt information om förmånstagare, personnummer och ekonomisk information.
Säkerhetsåtgärder för att förhindra sådana dataintrång:
1. Aktivera multifaktorautentisering (t.ex. Google Keys)
2. Aktivera captcha i vissa situationer
3. Svartlista de IP-adresser som härrör från ett fåtal (eller en) IP-adress. Blockera adresser som försöker logga in på flera olika konton
4. Generera varningar för det konto vars tröskelvärde nått maxtaket
5. Meddela användare och berörda team om de ovanliga säkerhetshändelserna
6. Införa en policy med flerstegsinloggning (t.ex. 2AF och multifaktorautentisering)
7. Begränsa åtkomsten utifrån
8. Förbjuda enkla lösenord och utbilda användarna i hur man använder komplexa lösenord med lösenordshanterare
Citrix lösning och förebyggande åtgärder
För att hitta en lösning på dataintrånget och ta fram förebyggande åtgärder inför framtiden inledde Citrix ett samarbete med ett ledande cybersäkerhetsföretag som bistod det interna teamet med den kriminaltekniska undersökningen. De samarbetar också med FBI i samband med deras undersökning av IT-brottslingarna.
Känner du att känsliga data är tillräckligt säkra?
Om inte bör du skynda dig och få en kostnadsfri säkerhetsbedömning av oss.
