El nuevo ransomware llamado LockFile se dirige a los servidores de Microsoft Exchange

Surface Pro 7Fuente: Daniel Rubino / Windows Central

Los servidores de Microsoft Exchange no son ajenos a los atacantes malintencionados que los persiguen. Ahora ha surgido una nueva amenaza conocida como LockFile. El ransomware se ha utilizado para atacar servidores de Microsoft Exchange en los Estados Unidos y Asia desde al menos el 20 de julio de 2021, según un informe de Symantec (a través de PC Gamer). Si tiene éxito, este tipo de ataque puede apoderarse de los dominios de Windows y cifrar dispositivos. Una vez hecho esto, un actor malintencionado puede propagar ransomware a través de una red.

LockFile utiliza un exploit conocido como PetitPotam, según Symantec. Aunque se cree que los atacantes obtienen acceso a una red a través de los servidores de Microsoft Exchange y luego usan la vulnerabilidad PetitPotam, Symantec dice que "no está claro cómo los atacantes obtienen acceso inicial a los servidores de Microsoft Exchange".

Ofertas de VPN: licencia de por vida por $ 16, planes mensuales por $ 1 y más

Contrariamente a la declaración de Symantec, DoublePulsar informa que el ataque explota vulnerabilidades en Microsoft Exchange conocidas como ProxyShell.

Bleeping Computer explica que ProxyShell consta de "tres vulnerabilidades encadenadas de Microsoft Exchange que provocan la ejecución remota de código no autenticado". Estas vulnerabilidades fueron descubiertas originalmente por Naranja tsai.

Microsoft parcheó las vulnerabilidades en ProxyShell en mayo de 2021, pero desde entonces los investigadores y atacantes han podido reproducir el exploit.

Las últimas actualizaciones acumulativas para Microsoft Exchange corrigen las vulnerabilidades de ProxyShell utilizadas en estos ataques. Microsoft no tiene una solución completa para el ataque PetitPotam.

La Agencia de Seguridad de Infraestructura y Ciberseguridad también tiene un Aviso de Vulnerabilidad:

Los actores cibernéticos maliciosos explotan activamente las siguientes vulnerabilidades de ProxyShell: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. Un atacante que aproveche estas vulnerabilidades podría ejecutar código arbitrario en una máquina vulnerable. CISA insta a las organizaciones a identificar los sistemas vulnerables en sus redes y aplicar de inmediato la actualización de seguridad de Microsoft de mayo de 2021, que corrige las tres vulnerabilidades de ProxyShell, para protegerse contra estos ataques.

Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir