10 grupos de hackers atacan las vulnerabilidades de Exchange

12. Marzo 2021
| No hay comentarios
10 grupos de hackers atacan las vulnerabilidades de Exchange

Compartir publicación

Más de diez grupos de hackers atacan las brechas de seguridad de Microsoft Exchange. ESET ya ha identificado más de 5.000 servidores de correo electrónico infectados, la mayoría en Alemania.

Las vulnerabilidades públicas recientemente hechas públicas en Microsoft Exchange están causando más y más olas. Los investigadores del fabricante de seguridad de TI ESET descubrieron más de diez grupos APT (amenazas persistentes avanzadas) diferentes, que actualmente explotan cada vez más las vulnerabilidades para comprometer los servidores de correo electrónico y obtener acceso a los datos de la empresa. Entonces, la amenaza no se limita al grupo chino del hafnio, como se pensaba anteriormente. ESET identificó alrededor de 5.000 servidores de correo electrónico corporativos y gubernamentales en todo el mundo que estaban comprometidos. La mayoría de los objetivos de los grupos de hackers se encuentran en Alemania. La telemetría de los expertos en seguridad mostró la presencia de los llamados web shells. Estos programas o scripts maliciosos permiten el control remoto de un servidor a través de un navegador web. Los expertos en TI publican un análisis detallado en el blog de seguridad de ESET welivesecurity.de.

Actualizaciones ya implementadas

ESET reaccionó de inmediato e implementó sus análisis de los vectores de ataque y las funcionalidades maliciosas utilizadas en sus soluciones de seguridad para empresas a través de actualizaciones. Incluso antes de que se conociera el exploit, la tecnología multicapa de las soluciones ESET B2B habría detectado la ejecución de código malicioso, como ransomware. Las soluciones ESET B2B también detectan ataques de malware como web shells y backdoors que se basan en los exploits conocidos. Con independencia de ello, es obligatoria la instalación de las actualizaciones de seguridad proporcionadas por Microsoft.

Se recomienda el uso de sistemas de alerta temprana

El uso de las llamadas soluciones de detección y respuesta de punto final (soluciones EDR) podría haber limitado o evitado el robo de datos de la empresa en muchos casos. “Con la ayuda de las soluciones EDR, como ESET Enterprise Inspector, los administradores habrían sido informados de actividades sospechosas en una etapa temprana. De esta manera, la salida de datos de la empresa podría haberse registrado en una etapa temprana, a pesar de la explotación de la brecha de seguridad, para evitarlo con las medidas apropiadas", explica Michael Schröder, Security Business Strategy Manager de ESET Alemania.

Para evaluar la postura de seguridad, los servidores de Exchange deben verificarse en busca de las siguientes detecciones:

  • JS/Exploit.CVE-2021-26855.Webshell.A
  • JS/Exploit.CVE-2021-26855.Webshell.B
  • ASP/WebShell
  • ASP/ReGeorg

 

Análisis de ESET revela grupos de ciberespionaje

“Desde el día en que Microsoft lanzó los parches de Exchange, hemos visto más y más piratas informáticos escanear en masa y comprometer los servidores de Exchange. Curiosamente, todos estos son grupos APT notorios por sus actividades de espionaje. Estamos seguros de que otros grupos, como los operadores de ransomware, también explotarán estos exploits y se sumarán”, dice Matthieu Faou, quien dirige la investigación de ESET sobre el tema. Los investigadores de ESET también descubrieron que algunos grupos de APT ya estaban explotando las vulnerabilidades antes de que los parches estuvieran disponibles. "Por lo tanto, podemos descartar que estos grupos hayan creado un exploit mediante la ingeniería inversa de las actualizaciones de Microsoft", agrega Faou.

Tres consejos rápidos de Exchange para administradores

  • Los servidores de Exchange deben parchearse lo antes posible. Esto también se aplica si no están conectados directamente a Internet.
  • Se recomienda a los administradores que busquen webshells y otras actividades maliciosas y que las eliminen de inmediato.
  • Los detalles de inicio de sesión deben cambiarse inmediatamente.

"El incidente es un muy buen recordatorio de que las aplicaciones complejas como Microsoft Exchange o SharePoint no deberían estar abiertas a Internet", aconseja Matthieu Faou.

Grupos APT y sus patrones de comportamiento

  • garrapata – comprometió el servidor web de una empresa con sede en Asia oriental que proporciona servicios de TI. Como en el caso de LuckyMouse y Calypso, el grupo probablemente tuvo acceso a un exploit antes de que se lanzaran los parches.
  • ratónafortunado - infectó el servidor de correo electrónico de una agencia gubernamental en el Medio Oriente. Este grupo APT probablemente tuvo un exploit al menos un día antes de que se lanzaran los parches cuando todavía era un día cero.
  • Calipso - atacó los servidores de correo electrónico de las agencias gubernamentales en el Medio Oriente y América del Sur. El grupo probablemente tuvo acceso de día cero al exploit. En los días siguientes, los operadores de Calypso atacaron otros servidores gubernamentales y corporativos en África, Asia y Europa.
  • websiic - Dirigido a siete servidores de correo electrónico propiedad de empresas (en los sectores de TI, telecomunicaciones e ingeniería) en Asia y una entidad gubernamental en Europa del Este.
  • Grupo Winnti - comprometió los servidores de correo electrónico de una empresa petrolera y una empresa de maquinaria de construcción en Asia. El grupo probablemente tuvo acceso a un exploit antes de que se lanzaran los parches.
  • equipo tonto – atacó los servidores de correo electrónico de una empresa de adquisiciones y una consultora especializada en desarrollo de software y ciberseguridad, ambas con sede en Europa del Este.
  • Actividad de ShadowPad - infectó los servidores de correo electrónico de una empresa de desarrollo de software con sede en Asia y una empresa inmobiliaria con sede en Oriente Medio. ESET descubrió una variante de la puerta trasera ShadowPad inyectada por un grupo desconocido.
  • "Operación" Ataque de cobalto – apuntó a alrededor de 650 servidores, principalmente en los EE. UU., Alemania, el Reino Unido y otros países europeos, solo unas horas después de que se lanzaron los parches.
  • Puertas traseras de IIS - ESET observó puertas traseras de IIS instaladas en cuatro servidores de correo electrónico en Asia y América del Sur a través de los webshells utilizados en estas infracciones. Una de las puertas traseras se conoce públicamente como Owlproxy.
  • microcea - comprometió el servidor Exchange de una empresa de servicios públicos en Asia Central, una región que suele ser el objetivo de este grupo.
  • DLT Minero - ESET descubrió el uso de descargadores de PowerShell en varios servidores de correo electrónico previamente atacados a través de las vulnerabilidades de Exchange. La infraestructura de red utilizada en este ataque está vinculada a una campaña de minería de monedas informada anteriormente.

Fondo

A principios de marzo, Microsoft lanzó parches para Exchange Server 2013, 2016 y 2019 que abordan una serie de vulnerabilidades de ejecución remota de código (RCE) antes de la autenticación. Las vulnerabilidades permiten que un atacante tome el control de cualquier servidor de Exchange accesible sin tener que conocer las credenciales válidas, lo que hace que los servidores de Exchange orientados a Internet sean particularmente vulnerables.

Más información en WeLiveSecurity en ESET.com

 

Acerca de ESET

ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

ESET, Noticias de prensa
, , , , ,