Softwarebedrijf Citrix ontkent claims over een vermeende inbraak op het bedrijfsnetwerk en een ransomware-aanval. In een gisteren gepubliceerde blogposting reageert CISO Fermin Serna van Citrix op een "threat intelligence report" dat vorige week rondging en waarin wordt verwezen naar op het "dark web" gemaakte claims. Daarin stelt een aanvaller dat hij het netwerk van Citrix heeft gecompromitteerd en erin is geslaagd om data te stelen. Ook zou de aanvaller pogingen hebben ondernomen om zijn rechten te verhogen voor het uitvoeren van een ransomware-aanval.

"We hebben geen bewijs dat de aanvaller het Citrix-netwerk heeft gecompromitteerd", aldus Serna. De data die in het rapport wordt genoemd is volgens de CISO afkomstig van een derde partij. Deze derde partij, die niet bij naam wordt genoemd, beschikt over zakelijke contactgegevens van Citrix met een "low sensitivity", merkt Serna op. Citrix-broncode, intellectueel eigendom, wachtwoorden of andere inloggegevens zijn niet in het bezit van deze derde partij, die inmiddels een onderzoek heeft ingesteld.

"Er zijn berichten dat er Citrix-gegevens op het dark web te koop worden aangeboden. Gebaseerd op ons onderzoek is de bron van deze data dezelfde derde partij. Veel van de berichten impliceren ten onrechte een inbraak bij Citrix", voegt Serna toe. Het Twitteraccount Under the Breach maakte gisteren melding van de verkoop van de gegevens.

Citrix kreeg eind 2018 en begin 2019 wel met een inbraak op het netwerk te maken. Destijds wisten aanvallers binnen te komen via "password spraying". Dit is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Naar aanleiding van de inbraak besloot Citrix wachtwoorden binnen de gehele onderneming te resetten.