Sophos Labs identificó a un atacante que utiliza una vulnerabilidad de Exchange para la criptominería: “Los administradores deben escanear el servidor de Exchange en busca de shells web y monitorear los servidores en busca de procesos inusuales que parecen aparecer de la nada. El alto uso del procesador por parte de un programa desconocido podría ser un signo de actividad de criptominería o ransomware”, dijo Andrew Brandt, investigador principal de amenazas en Sophos.
Los conocidos problemas recientes relacionados con las vulnerabilidades de Microsoft Exchange Server están lejos de terminar. Incluso después de los parches de seguridad del 2 y 9 de marzo, los nuevos atacantes siguen utilizando el exploit para sus ataques. SophosLabs ahora ha identificado a un atacante desconocido que utiliza la vulnerabilidad "ProxyLogon" para instalar un criptominero que ataca los servidores sin parches. El "minero" pertenece a la familia xmr-stak de mineros Monero legítimos de código abierto. Andrew Brandt, investigador principal de amenazas de Sophos, revela más detalles del ataque del criptominero.
La minería fluyó hacia las billeteras de Monero
“Nuestro análisis de esta campaña muestra que el 9 de marzo, los valores mineros fluyeron hacia las billeteras Monero de los atacantes y, a partir de entonces, el alcance del ataque se redujo rápidamente. Esto sugiere que estamos lidiando con otro ataque de montaje rápido, oportunista y posiblemente experimental que intenta robar algo de dinero fácil antes de que se produzcan parches generalizados. Las empresas no solo deben parchear sus servidores de inmediato, sino también seguir supervisándolos de cerca.
Para la mayoría de las víctimas, es probable que la primera señal de compromiso sea una caída significativa en el poder de procesamiento. Los servidores que no están parcheados pueden haber estado comprometidos durante algún tiempo antes de que se haga evidente. Los administradores deben escanear Exchange Server en busca de shells web y monitorear los servidores en busca de procesos inusuales que parecen surgir de la nada. El alto uso del procesador por parte de un programa desconocido podría ser un signo de actividad de criptominería o ransomware”.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.