El software olvidado, sin parches y obsoleto proporciona un punto de entrada ideal para los ciberdelincuentes. Este también es el caso en el caso actual de un ataque de ransomware que explotó el software Adobe ColdFusion de 11 años en un servidor.
Sophos ha descubierto un ataque particularmente sofisticado llamado Cring Ransomware Exploits Ancient ColdFusion Server. Los operadores del ransomware Cring atacaron a su víctima después de piratear un servidor que ejecutaba una versión sin parches del software Adobe ColdFusion de hace 11 años. La víctima usó el servidor para recopilar hojas de cálculo y datos contables para la nómina y para alojar varias máquinas virtuales. Los atacantes penetraron el servidor habilitado para la web en cuestión de minutos y ejecutaron el ransomware 79 horas después.
Los delincuentes utilizaron técnicas sofisticadas
La investigación de Sophos reveló que los atacantes utilizaron herramientas automatizadas para escanear el sitio web de la víctima como primer paso. Una vez que descubrieron que se estaba ejecutando una versión sin parches de ColdFusion en el servidor, pudieron ingresar en cuestión de minutos. Después de eso, usan técnicas de encubrimiento particularmente sofisticadas: inician la codificación del código en la memoria y cubren sus huellas con archivos sobrescritos que contienen datos corruptos o registros eliminados y otros artefactos que los cazadores de amenazas usan en sus investigaciones. Los piratas informáticos también pudieron desactivar los productos de seguridad porque la función antimanipulación estaba desactivada. Finalmente, publicaron una nota de que han extraído datos que publicarán si no se llega a un "buen negocio".
El software antiguo es una puerta de entrada peligrosa
“Los dispositivos que ejecutan software vulnerable y desactualizado son exactamente las puertas de entrada que los ciberdelincuentes buscan como la ruta más fácil hacia su víctima. El ransomware Cring no es nuevo, pero es raro. En el caso examinado, el objetivo del ataque fue una empresa de servicios donde solo un servidor habilitado para Internet con software obsoleto y sin parches abrió la puerta para el ataque. Lo sorprendente es que este servidor estaba en uso diario. A menudo, los dispositivos más vulnerables son los inactivos, ya sea olvidados o pasados por alto durante la actualización o la aplicación de parches. Pero independientemente del estado (activo o inactivo), los servidores o dispositivos habilitados para Internet sin parches son los objetivos principales para que los ciberdelincuentes busquen puntos de entrada vulnerables. Por lo tanto, los administradores de TI deben tener un inventario preciso de todos los dispositivos conectados y no colocar sistemas antiguos y críticos de la empresa en la red pública. Si las organizaciones tienen este tipo de dispositivos en algún lugar de su red, pueden estar casi seguros de que los ciberdelincuentes se sentirán atraídos por ellos”, dijo Andrew Brandt, investigador principal de Sophos.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.