Microsoft informó el lunes que varios actores malintencionados explotaron la semana pasada vulnerabilidades en el software Exchange de la empresa para atacar los sistemas de organizaciones que no lograron parchear las fallas.
Para ayudar a las organizaciones que no han implementado las herramientas de seguridad de Microsoft, la compañía ha lanzado hashes de malware y rutas de archivos maliciosos conocidas que se pueden usar para abordar vulnerabilidades manualmente.
Microsoft reveló el 4 de marzo que detectó múltiples vulnerabilidades de día cero que se utilizan para atacar versiones locales de su software Exchange Server. Agregó que en los ataques que observó la compañía, los actores de amenazas explotaron las fallas para obtener acceso a las cuentas de correo electrónico y permitir la instalación de malware adicional para facilitar el acceso a largo plazo al entorno de la víctima.
Al mismo tiempo, Microsoft lanzó un software para parchear la vulnerabilidad.
empresa atribuido al ataque Se cree que Hafnium es una organización patrocinada por el estado que opera fuera de China, en base a un «alto nivel de confianza» observado en su victimización, tácticas y procedimientos.
«Estamos trabajando con [Cybersecurity and Infrastructure Security Agency]otras agencias gubernamentales y empresas de seguridad para garantizar que brindamos a nuestros clientes la mejor orientación y mitigación», dijo Microsoft en un comunicado proporcionado a TechNewsWorld.
«La mejor protección es aplicar la actualización en todos los sistemas afectados lo antes posible», continuó. «Seguimos asistiendo a los clientes brindándoles investigaciones adicionales y orientación de mitigación. Los clientes afectados deben comunicarse con nuestro equipo de soporte para obtener asistencia y recursos adicionales».
Tabla de Contenidos
los piratas informáticos se apresuran
Inicialmente, unas 20.000 organizaciones fueron atacadas, pero Según Bloomberg, el número se ha disparado a 60.000 y continúa aumentando. Esto puede deberse a que otros piratas informáticos están rompiendo las puertas que ha abierto Hafnium.
En los días posteriores a que el ataque se hizo público, Cynet, un fabricante de una plataforma autónoma de protección de vulnerabilidades con sede en la ciudad de Nueva York, descubrió una serie de ataques relacionados con la vulnerabilidad de Exchange que usaba una pieza de malware llamada China Chopper.
El malware es una puerta trasera de shell web que permite a los grupos de amenazas controlar de forma remota los sistemas infectados abusando de las aplicaciones cliente para obtener acceso remoto a las redes corporativas.
Cynet usó China Chopper para identificar cuatro grupos: Leviathan, Threat Group-3390, Soft Cell y APT41.
“De hecho, China Chopper es una herramienta que algunas personas usan fácil y el hecho de que China Chopper se utilizó específicamente para atacar servicios vulnerables de Microsoft nos lleva a creer que otros grupos de APT están apuntando a estas vulnerabilidades», escribió el investigador principal de amenazas de Cynet, Max Malyutin, en una empresa Blog.
Si bien la explotación generalizada de las vulnerabilidades de Exchange ha comenzado a extenderse y ahora está en manos de delincuentes, algunas organizaciones perderán más que otras, agregó John Hultquist, vicepresidente de análisis. Inteligencia de amenazas de Mandiant.
«Es poco probable que la gran mayoría de las organizaciones pequeñas y medianas sean de interés para los operadores de espionaje cibernético que han obtenido este exploit durante algún tiempo», dijo en un comunicado.
«Si bien parecen estar explotando organizaciones a escala», continuó, «este esfuerzo les permite seleccionar objetivos con el mayor valor de inteligencia».
Un tesoro de datos en el correo electrónico
Si bien los objetivos exactos de los atacantes no están claros, los expertos coinciden en que los atacantes están explotando grandes cantidades de datos.
«Incluso si no puede nombrar con autoridad a todos los actores de amenazas involucrados, piense en lo que encontrará en una cuenta de correo electrónico», dijo Ben Smith, CTO del campo. Seguridad RSAun proveedor global de soluciones de seguridad.
«La propiedad intelectual y la información de las personas asociadas con organizaciones objetivo son dos de las categorías de datos más sensibles que se encuentran en los correos electrónicos», dijo a TechNewsWorld.
Puede que no haya evidencia directa de un solo motivo, pero el robo de datos será el objetivo general, señaló Purandar Das, director ejecutivo y cofundador. Sóterouna firma de protección de datos en Burlington, Massachusetts.
«En este caso, los posibles resultados pueden tardar un tiempo en manifestarse», dijo a TechNewsWorld. «El contenido de correo electrónico confidencial que conduce a estrategias, transacciones financieras y credenciales de usuario puede verse comprometido».
Matt Petrosky, vicepresidente de experiencia del cliente gran rincónuna firma de seguridad de correo electrónico en la nube en Waltham, Massachusetts, agregó que es seguro decir que habrá un aumento en los ataques basados en suplantación, donde los atacantes pueden obtener acceso a las comunicaciones internas, así como a la información de cuentas por cobrar y por pagar.
«Los atacantes pueden usar estos datos para insertarse a través de un disfraz de correo electrónico para engañar a los pagos o explotar información privilegiada», dijo a TechNewsWorld.
ataque del estado nación
Identificar la fuente de un ataque cibernético podría ser una propuesta arriesgada, incluso si Microsoft está seguro de haber identificado a los perpetradores del ataque de Exchange, aunque las características del ataque parecen apuntar fuertemente a un estado-nación.
“La escala, el alcance y el enfoque de la cadena de suministro de terceros de este ataque ciertamente indican la sofisticación del ataque del estado-nación”, dijo Smith.
«Curiosamente, la escala, el volumen y la velocidad de la aceleración del ataque sugieren que un grupo bien organizado orquestó este ataque», agregó Das.
“Estas habilidades de coordinación y organización son del tipo que un estado-nación puede implementar”, observa.
Karen Walsh, Directora Soluciones Allegro, una firma de marketing de seguridad cibernética en West Hartford, Connecticut, está de acuerdo con Microsoft en que no es cualquier estado-nación el que apoya estos ataques. Explicó que las señales de compromiso y el carácter del ataque parecen apuntar a China.
«Los actores maliciosos tienen su forma favorita de hacer las cosas», dijo. «Al igual que un artista tiene un cierto estilo, un hacker tiene un cierto estilo».
SolarWinds repite
con masiva Ataque de vientos solares En el último año, los ataques de Exchange se dirigieron a los proveedores externos de muchas organizaciones.
«Ambos ataques se dirigieron a las cadenas de suministro de las organizaciones afectadas», explicó Smith.
«Es fácil olvidar», continuó, «que incluso si no está en el negocio de fabricación de dispositivos, si confía en terceros para administrar su negocio, su cadena de suministro se verá afectada».
Das agregó que los ataques son similares en el sentido de que ambos se dirigen a plataformas de terceros para infectar grandes bases de clientes, pero también son diferentes.
«La diferencia entre ellos es que los piratas informáticos del software SolarWinds piratearon el código base e instalaron una puerta trasera, que luego usaron para obtener acceso a la red del cliente», explicó.
«En el ataque de Microsoft», continuó, «los delincuentes encontraron una vulnerabilidad en la versión del producto y la explotaron para acceder al correo electrónico».
Petrosky insiste en que los ataques solo son similares en la asombrosa cantidad de víctimas potenciales, aunque el incidente de Exchange parece superar a SolarWinds en una proporción de cinco a uno.
«Las víctimas de SolarWinds son vulnerables principalmente porque confían en que el software de SolarWinds se actualice a sí mismo a través de canales seguros», dijo.
“El ataque de Microsoft es más como un ataque clásico de día cero”, continuó. «Las víctimas iniciales pueden haber sido objetivos selectivos, pero la cantidad de víctimas potenciales en la actualidad se debe a que estos servidores de Exchange tienen acceso a búsquedas en Internet, como la herramienta Shodan y otros scripts».