Muchas organizaciones están en riesgo tras el ataque al servidor de Microsoft Exchange-el servicio de correo electrónico empresarial-, el pasado 2 de marzo por un grupo de atacantes chinos. Pese a los parches que puso Microsoft siguen las vulnerabilidades que están siendo aprovechadas por ciberdelincuentes especializados en espionaje y ransomware (secuestro de datos).
Microsoft lanzó un conjunto de parches para las versiones 2013, 2016 y 2019 para resolver las vulnerabilidades que permitirían a los atacantes tomar el control de cualquier servidor Exchange sin necesidad de conocer las credenciales de autenticación.
- Te recomendamos Hackean 30 mil organizaciones en EU tras falla de seguridad en Microsoft Tecnología
Sin embargo, un día después de publicar los parches, se observó a varios grupos de delincuentes escanear y comprometer de forma masiva los servidores Exchange. Todos estos ataques fueron perpetuados por grupos APT (amenaza persistente avanzada), especializados en espionaje.
“Los servidores comprometidos podrían permitir a un cibercriminal no autorizado extraer todos los correos electrónicos corporativos y ejecutar un código malicioso dentro de una empresa con permisos elevados”, advierte Víctor Ruiz, fundador de SILIKN.
Lejos de mitigarse el ataque, los cibercriminales redoblaron su actividad después de que se hiciese pública la brecha de seguridad, y en la actualidad ya han vulnerado al menos 30 mil instituciones solo en Estados Unidos a raíz de esta brecha.
De acuerdo con datos de la unidad de investigación de la empresa de ciberseguridad SILIKN, se han registrado cientos de intentos de explotación de vulnerabilidades contra empresas de todo el mundo relacionados con cuatro vulnerabilidades específicas que actualmente afectan a Microsoft Exchange Server. Sólo en las últimas 72 horas, la unidad de investigación de SILIKN ha observado que el número de intentos de explotación en las empresas se duplican cada dos horas.
El grupo APT ha acelerado sus ataques para intentar conseguir acceso a todos los servidores de Exchange posibles que no estén parcheados, un incremento de actividad dañina que se cree que ha afectado ya a cientos de miles de servidores en todo el mundo, lo que convierte a este ataque en mayor que el registrado en SolarWinds, indica Ruiz.
DearCry se aprovecha de Microsoft
La empresa de ciberseguridad Sophos analizó el ransomware DearCry, el cual se está aprovechando de las vulnerabilidades recientes de Microsoft Exchange. Este ataque cifra los datos del correo electrónico en este tipo de servidores sin parches para poder exigir un rescate.
"Nuestro análisis de muestras de ransomware DearCry ha descubierto un comportamiento de ataque de cifrado poco común: un enfoque "híbrido". El único otro ransomware que he investigado a lo largo de los años que empleaba un enfoque híbrido era WannaCry, y se trataba de una propagación automática en lugar de un ataque operado por humanos como DearCry”, comenta Mark Loman, director de la oficina de tecnología de ingeniería de Sophos.
- Te recomendamos ¿Pagas mucho de luz? Estos son los 5 aparatos que más consumen electricidad en tu hogar Negocios
Tanto DearCry y WannaCry primero crean una copia cifrada del archivo atacado, un enfoque llamado cifrado de 'copia', y luego sobrescriben el archivo original para evitar la recuperación, lo que se llama cifrado 'en el lugar'
Loman explica que el ransomware de "copia" permite a las víctimas recuperar potencialmente algunos datos. Sin embargo, con el cifrado "en el lugar", la recuperación mediante herramientas es imposible.
“Nuestro análisis muestra además que el código no viene con el tipo de características anti-detección que normalmente esperarías con ransomware, como empaque u ofuscación. Esto sugiere que DearCry puede ser un prototipo, posiblemente puesto en uso para aprovechar la oportunidad que presentan las vulnerabilidades de Microsoft Exchange Server, o creado por desarrolladores menos experimentados”, concluye el directivo de Sophos.
¿Cómo mitigar el ataque? Loman aconseja que “los encargados deben tomar medidas urgentes para instalar los parches de Microsoft para evitar la explotación de su servidor Exchange. Si esto no es posible, el servidor debe ser desconectado de Internet o monitoreado de cerca por un equipo de respuesta a amenazas"
lvm