Ataque de ransomware a aeroportos europeus explorou vulnerabilidade zero day no Citrix ADC

O ciberataque de ransomware que atingiu a Collins Aerospace no fim de semana e que forçou aeroportos europeus a regressarem ao check-in manual, terá explorado uma vulnerabilidade zero day no Citrix ADC. Segundo o The Guardian, a vulnerabilidade foi utilizada como porta de entrada para comprometer os sistemas Muse, o que provou atrasos, cancelamentos e longas esperas em alguns dos principais hubs aéreos da Europa.

A investigação forense aponta para uma variante do REvil/Sodinokibi, capaz de encriptar ficheiros com AES-256 e de exigir resgates pagos em Monero. O ataque terá começado com spear-phishing, mas foi a exploração da zero day no Citrix ADC que permitiu aos atacantes ganhar privilégios elevados e infiltrar-se em controladores de domínio. A partir daí, espalharam o ransomware por redes internas e infraestruturas críticas, incluindo sistemas de bagagens e portões de embarque.

Em Bruxelas, só na segunda-feira foram cancelados 63 voos; em Heathrow, os tempos de espera aumentaram em mais de duas horas para alguns passageiros. A Agência da União Europeia para a Cibersegurança (ENISA) confirmou a extensão do ataque e admitiu que a encriptação chegou a controladores de domínio primários, um cenário que expôs a dependência das operações aeroportuárias de um único fornecedor tecnológico.

A RTX, empresa-mãe da Collins Aerospace, garantiu que “a integridade do sistema está a ser verificada” e instou os clientes a instalar de imediato a versão mais recente do software Muse. Já Jonathan Hall KC, especialista britânico em legislação antiterrorista, deixou em aberto a hipótese de envolvimento de um ator estatal.

Para já, os aeroportos recomendam que os passageiros confirmem o estado dos voos online e cheguem com maior antecedência para viagens de longo curso e para voos dentro da Europa.