Nuevo ataque de ransomware ataca servidores vulnerables de Microsoft Exchange

Surface 3 Laptop 13.5
Fuente: Daniel Rubino / Windows Central

Otro grupo de atacantes tiene como objetivo los servidores vulnerables de Microsoft Exchange. Esta vez se trata de un grupo conocido como Conti, que utiliza vulnerabilidades de ProxyShell para acceder a las redes corporativas. Las noticias de los ataques provienen de Sophos, que ha estado involucrado en un caso de respuesta a incidentes (a través de Bleeping Computer).

ProxyShell se refiere a tres vulnerabilidades encadenadas de Microsoft Exchange. Cuando se explota, los atacantes pueden utilizarlo para una ejecución remota no autenticada. Las vulnerabilidades fueron descubiertas por primera vez por Naranja tsai. Según se informa, las vulnerabilidades de ProxyShell también se utilizaron en ataques recientes de LockFile.

Microsoft solucionó las vulnerabilidades en ProxyShell en mayo de 2021, pero desde entonces los investigadores y atacantes han estado a punto de reproducir el exploit (a través de Peter Json). Algunas organizaciones aún tienen que implementar el parche de Microsoft, lo que deja a los servidores vulnerables. Desde que se publicaron los detalles técnicos de las vulnerabilidades, los actores malintencionados han sabido cómo explotarlas en servidores sin parches.

Ofertas de VPN: licencia de por vida por $ 16, planes mensuales por $ 1 y más

Los ataques de Conti vieron a los atacantes comprometiendo los servidores e instalando herramientas para acceder a los dispositivos de forma remota. Luego, los actores de la amenaza pudieron robar datos no cifrados.

Un detalle inquietante de este ataque es la velocidad a la que se llevó a cabo. “En las 48 horas posteriores a la obtención de este acceso inicial, los atacantes habían extraído aproximadamente 1 terabyte de datos”, explica Sophos. "Después de cinco días, implementaron el ransomware Conti en todas las máquinas de la red, apuntando específicamente a los recursos compartidos de red individuales en cada computadora".

Los atacantes de Conti utilizaron un correo electrónico de "@ evil.corp", lo que generó varias señales de alerta.

Para proteger los servidores, los administradores de servidores de Exchange deben aplicar las actualizaciones acumulativas más recientes de Microsoft.

Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir