La Autoridad Bancaria Europea (EBA) dijo el domingo que había sido víctima de un ciberataque dirigido a sus servidores Microsoft Exchange, lo que la obligó a desconectar temporalmente sus sistemas de correo electrónico como medida de precaución.
«Dado que la vulnerabilidad está relacionada con los servidores de correo electrónico de la EBA, el atacante puede haber obtenido acceso a datos personales a través de correos electrónicos almacenados en esos servidores», dijo la agencia reguladora con sede en París.
EBA dijo que inició una investigación completa sobre el incidente en asociación con su proveedor de tecnología de la información y la comunicación (TIC), un equipo de expertos forenses y otras entidades relevantes.
En una segunda actualización emitida el lunes, la agencia dijo que había asegurado su infraestructura de correo electrónico y que no encontró evidencia de extracción de datos, y agregó que «no tiene indicios para pensar que la violación ha ido más allá de nuestros servidores de correo electrónico».
Además de implementar medidas de seguridad adicionales, la EBA también señaló que está monitoreando de cerca la situación después de restaurar la funcionalidad completa de los servidores de correo electrónico.
El desarrollo es consecuencia de una campaña de explotación generalizada en curso por parte de múltiples actores de amenazas que apuntan a servidores de correo electrónico vulnerables de Microsoft Exchange una semana después de que Microsoft lanzó parches de emergencia para abordar cuatro fallas de seguridad que podrían encadenarse para evitar la autenticación y ejecutar programas maliciosos de forma remota.
Se dice que Microsoft se enteró de estas vulnerabilidades el 5 de enero de 2021, lo que indica que la compañía tenía casi dos meses antes de que finalmente lanzara una solución que se envió el 2 de marzo.
El hackeo masivo de Exchange Server hasta ahora se ha cobrado al menos 60.000 víctimas conocidas en todo el mundo, incluido un número significativo de pequeñas empresas y gobiernos locales, y los atacantes lanzan una amplia red antes de filtrar objetivos de alto perfil para una mayor actividad posterior a la explotación.
Las intrusiones que se aceleran rápidamente, que también se producen tres meses después de la campaña de piratería de SolarWinds, se han atribuido principalmente a un grupo llamado Hafnium, que, según Microsoft, es un grupo patrocinado por el estado que opera desde China.
Desde entonces, la inteligencia recopilada de múltiples fuentes apunta a un aumento en la actividad anómala del shell web dirigida a los servidores de Exchange por al menos cinco grupos de amenazas diferentes hacia fines de febrero, un hecho que puede haber jugado un papel importante en el lanzamiento de las correcciones por parte de Microsoft con una semana de anticipación. del horario de Patch Tuesday.
De hecho, según el cronograma de divulgación de vulnerabilidades compartido por la firma de seguridad cibernética taiwanesa Devcore, se dice que el Centro de respuesta de seguridad (MSRC) de Microsoft planeó originalmente el parche para el 9 de marzo, que coincide con el martes de parches de este mes.
Si la mercantilización de las vulnerabilidades de ProxyLogon no es una sorpresa, la explotación rápida e indiscriminada por parte de una multitud de bandas de delincuentes cibernéticos y piratas informáticos de estados nacionales sí lo es, lo que implica que las fallas fueron relativamente más fáciles de detectar y explotar.
Dmitri Alperovitch, presidente de Silverado Policy Accelerator y cofundador de CrowdStrike, afirmó que los ataques al servidor de intercambio chino son una violación importante de las normas. dicho «Si bien comenzó como una campaña de espionaje dirigida, se involucraron en un comportamiento imprudente y peligroso al escanear/comprometer los servidores de Exchange en todo el espacio de direcciones IPv4 con shells web que ahora pueden usar otros actores, incluidos los equipos de ransomware».
