Los piratas informáticos apuntan a los servidores de Microsoft Exchange con ransomware

No pasó mucho tiempo. Las agencias de inteligencia y los investigadores de seguridad cibernética habían estado advirtiendo que los servidores Exchange sin parches podrían abrir el camino para las infecciones de ransomware a raíz de la rápida escalada de los ataques desde la semana pasada.

Ahora parece que los actores de amenazas se han puesto al día.

Según lo último informeslos ciberdelincuentes están aprovechando las fallas de ProxyLogon Exchange Server, muy explotadas, para instalar una nueva variedad de ransomware llamada «DearCry».

«Microsoft observó una nueva familia de clientes de ataques de ransomware operados por humanos, detectados como Ransom: Win32 / DoejoCrypt.A», el investigador de Microsoft Phillip Misner tuiteó. «Los ataques de ransomware operados por humanos están utilizando las vulnerabilidades de Microsoft Exchange para explotar a los clientes».

El equipo de inteligencia de seguridad de Microsoft, en un tweet separado, confirmado que ha comenzado a «bloquear una nueva familia de ransomware que se utiliza después de un compromiso inicial de servidores de Exchange locales sin parches».

Empresa de seguridad Kryptos Logic dicho identificó alrededor de 6,970 shells web expuestos, algunos de los cuales se usaron para infectar los servidores comprometidos con el ransomware DearCry, lo que sugiere que otros grupos de ciberdelincuentes se están aprovechando de la puerta trasera del shell web de primera etapa plantada por el actor de amenazas Hafnium para instalar malware adicional de su elección. .

Llamar a DearCry y «copiar» ransomware, director de Sophos, Mark Loman dicho la tensión crea copias cifradas de los archivos atacados utilizando una clave de cifrado incrustada en el binario del ransomware y elimina las versiones originales, lo que permite a las víctimas «potencialmente recuperar algunos datos» debido a este comportamiento de cifrado.

«Los defensores deben tomar medidas urgentes para instalar los parches de Microsoft para evitar la explotación de sus parches de Microsoft Exchange. Si esto no es posible, el servidor debe desconectarse de Internet o ser monitoreado de cerca por un equipo de respuesta a amenazas», dijo Loman.

En un aviso conjunto publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI), las agencias advirtieron que «los adversarios podrían explotar estas vulnerabilidades para comprometer redes, robar información, cifrar datos para pedir rescate o incluso ejecutar un ataque destructivo».

El uso exitoso de las fallas como arma permite que un atacante acceda a los servidores Exchange de las víctimas, lo que les permite obtener acceso persistente al sistema y control de una red empresarial. Con la nueva amenaza de ransomware, los servidores sin parches no solo corren el riesgo de sufrir un posible robo de datos, sino que también pueden encriptarse, lo que impide el acceso a los buzones de correo de una organización.

Eliminación de PoC de GitHub desencadena debate

Mientras tanto, mientras los piratas informáticos y los ciberdelincuentes del estado nacional se amontonan para aprovechar las fallas de ProxyLogon, un código de prueba de concepto (PoC) compartido en GitHub propiedad de Microsoft por un investigador de seguridad ha sido eliminado por la compañía, citando que el el exploit está bajo ataque activo.

En una declaración a Vice, la compañía dijo: «De acuerdo con nuestras Políticas de uso aceptable, deshabilitamos la esencia luego de los informes de que contiene un código de prueba de concepto para una vulnerabilidad recientemente revelada que se está explotando activamente».

La medida también ha provocado un debate propio, con investigadores que argumentan que Microsoft está «silenciando a los investigadores de seguridad» al eliminar los PoC compartidos en GitHub.

«Esto es enorme, eliminar un código de investigadores de seguridad de GitHub contra su propio producto y que ya ha sido parcheado», dijo Dave Kennedy de TrustedSec. «Fue un PoC, no un exploit funcional; ninguno de los PoC ha tenido el RCE. Incluso si lo tuviera, ese no es su llamado sobre cuándo es el momento apropiado para lanzarlo. Es un problema en su propio producto, y están silenciando investigadores de seguridad en eso».

Esto también fue repetido por el investigador de Google Project Zero, Tavis Normandy.

«Si la política desde el principio no fuera PoC / metasploit / etc., sería una mierda, pero es su servicio», dijo Normandy en un tweet. “En cambio, dijeron que estaba bien, y ahora que se está convirtiendo en el estándar para que los profesionales de la seguridad compartan código, se han elegido a sí mismos como árbitros de lo que es ‘responsable’. Que conveniente. «

Pero respondiendo a Kennedy en Twitter, el investigador de seguridad Marcus Hutchins dijo: «‘Ya ha sido reparado’. Amigo, hay más de 50,000 servidores de intercambio sin parches por ahí. Lanzar una cadena RCE completa lista para usar no es investigación de seguridad, es imprudente y estúpido «.

En todo caso, la avalancha de ataques debería servir como una advertencia para parchear todas las versiones de Exchange Server lo antes posible, al mismo tiempo que se toman medidas para identificar signos de indicadores de compromiso asociados con los ataques, dado que los atacantes estaban explotando estos puntos cero. vulnerabilidades diarias en la naturaleza durante al menos dos meses antes de que Microsoft lanzara los parches el 2 de marzo.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática