Selon l'équipe de recherche du fournisseur de cyber-assurance At-Bay, le groupe de ransomware Royal exploite activement une faille de sécurité critique affectant les systèmes Citrix. Annoncée par le spécialiste de la virtualisation le 8 novembre 2022, la vulnérabilité, identifiée comme CVE-2022-27510, contourne des mesures d'authentification sur deux produits Citrix: Application Delivery Controller (ADC) et Gateway. Il n'y avait aucun cas connu d'exploitation de la vulnérabilité  au moment de la divulgation. Cependant, dès la première semaine de 2023, les analyses d'At-Bay suggèrent que le groupe Royal s'en sert désormais activement. Ce dernier est considéré comme l'un des gangs ransomware les plus sophistiqués. Il est apparu en janvier 2022 et a été particulièrement actif au second semestre l'an dernier notamment via l'exploit de camagnes Ads de Google.

Dès que le bug de Citrix a été publiée, les chercheurs ont commencé à évaluer l'ampleur du risque et à identifier les entreprises susceptibles d'être exposées, a écrit Adi Dror, analyste de données cyber d'At-Bay, dans un rapport. « Les données de nos analyses, les informations tirées des plaintes et d'autres renseignements recueillis par notre équipe indiquent que la vulnérabilité Citrix CVE-2022-27510 est le point d'accès initial utilisé par le groupe Royal Ransomware pour lancer une attaque », ajoute-t-il.

Un vecteur d'attaque courant mais efficace

La méthode d'exploitation suspectée de la vulnérabilité Citrix par le groupe Royal est conforme à une technique similaires observées dans le passé, a poursuivi Adi Dror. Il semble que Royal exploite cette vulnérabilité de contournement d'authentification pour obtenir un accès non autorisé aux terminaux avec ADC ou Gateway et lancer des attaques de ransomware. « L'exploit sur les serveurs est l'un des vecteurs d'attaque les plus courants pour les groupes de rançongiciels, en particulier les serveurs d'infrastructure critiques comme ceux fournis par Citrix. Cependant, ce qui distingue cette instance, c'est que le groupe utilise la vulnérabilité Citrix avant qu'il n'y ait un exploit public ». A noter que les versions suivantes des produits du spécialiste de la virtualisation sont affectées par CVE-2022-27510 : ADC et Gateway 13.1 (avant 13.1-33.47), ADC et Gateway 13.0 (avant 13.0-88.12, ADC et Gateway 12.1 (avant 12.1-65.21), et ADC 12.1-FIPS (avant 12.1-55.289).

Les entreprises utilisant l'une de ces solutions sont invitées à corriger les logiciels vulnérables et à suivre les méthodes d'atténuation recommandées par Citrix. « Même pour les clients qui n'ont pas reçu d'alerte de sécurité, il est important qu'ils vérifient s'ils utilisent des produits vulnérables et qu'ils corrigent immédiatement », a déclaré Adi Dror.

Une menace active et évasive pour les entreprises

Le groupe Royal a considérablement intensifié ses opérations au cours des derniers mois de 2022 et a développé son propre programme de ransomware personnalisé qui permet aux attaquants d'effectuer un chiffrement de fichiers flexible et rapide. « Son rançongiciel, que le groupe déploie via différents TTP, a eu un impact sur plusieurs entreprises à travers le monde », ont déclaré des chercheurs de Cybereason dans une récente étude.

Les tactiques du groupe présentent des similitudes avec celles de Conti, ce qui fait soupçonner qu'il est en partie composé d'anciens membres du tristement célèbre groupe qui a fermé ses portes en mai 2022. Royal est connu pour utiliser le phishing comme vecteur d'attaque initial, ainsi que des tiers- chargeurs  tels que BATLOADER et Qbot pour la distribution. L'accès initial est généralement suivi du déploiement d'un implant Cobalt Strike pour la persistance et pour se déplacer latéralement à l'intérieur de l'environnement en vue de la suppression de la charge utile du ransomware. Les tactiques utilisées par Royal donne au groupe la capacité d'échapper à la détection avec un chiffrement partiel.