🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Gran cantidad de ciberdelincuentes se unen al frenesí de ataques a Microsoft Exchange

Más grupos de ciberdelincuentes patrocinados por estados se han unido a los ataques en curso dirigidos a decenas de miles de servidores Exchange. Recordemos que los servidores Exchange están siendo afectados por graves vulnerabilidades identificadas como ProxyLogon.

Después del informe inicial de Microsoft de que las vulnerabilidades fueron explotadas activamente por un grupo de APT chino llamado Hafnium, han surgido nuevos detalles. La firma de seguridad eslovaca ESET ha identificado otros grupos que están aprovechando las vulnerabilidades.  Según información, al menos otros tres grupos de hacking respaldados por China están explotando las vulnerabilidades de ProxyLogon en ataques en curso.

Además de esos tres (APT27, Bronze Butler, también conocido como Tick, y Calypso), ESET también dijo que identificó varios “grupos adicionales aún sin clasificar”.

En una actualización del viernes a su anuncio, Microsoft dijo que varios otros actores de amenazas “más allá de HAFNIUM” también están explotando las cuatro vulnerabilidades críticas de Exchange.

Según la telemetría (incompleta) de ESET, las shells web ya se han implementado en más de 5,000 servidores Exchange únicos de más de 115 países.

Detecciones de shells webs por país (ESET)

Servidores de Exchange atacados por múltiples grupos de hacking

ESET ha publicado un nuevo informe que dice que los servidores de Exchange sin parches están siendo atacados actualmente por “al menos 10 grupos APT”.

Además de las APT mencionadas anteriormente (APT27, Tick y Calypso), la nueva lista de ESET también incluye a Winnti Group, Tonto Team, Mikroceen. Y, también a un actor de amenazas recién detectado llamado Websiic.

Al analizar los datos de telemetría, la compañía también detectó ShadowPad, “Opera” Cobalt Strike, puerta trasera de IIS y actividad de DLTMiner por grupos APT desconocidos.

ESET también proporcionó un breve resumen de la actividad maliciosa de estos grupos de amenazas:

  • Tick ​​ (Bronze Butler): comprometió el servidor web de una empresa con sede en el este de Asia que proporciona servicios de informática. Como en el caso de LuckyMouse y Calypso, el grupo probablemente tuvo acceso a un exploit antes del lanzamiento de los parches.
  • LuckyMouse (APT27): comprometió el servidor de correo electrónico de una entidad gubernamental en el Medio Oriente. Este grupo de APT probablemente tuvo un exploit al menos un día antes de que se lanzaran los parches, cuando todavía era un día cero.
  • Calypso: comprometió los servidores de correo electrónico de entidades gubernamentales en el Medio Oriente y en América del Sur. El grupo probablemente tuvo acceso al exploit como un zero-day. En los días siguientes, los operadores de Calypso apuntaron a servidores adicionales de entidades gubernamentales y empresas privadas en África, Asia y Europa.
  • Websiic. Se dirigió a siete servidores de correo electrónico pertenecientes a empresas privadas (telecomunicaciones e ingeniería) en Asia y un organismo gubernamental en Europa del Este.
  • Winnti Group. Comprometió los servidores de correo electrónico de una empresa petrolera y una empresa de equipos de construcción en Asia. El grupo probablemente tuvo acceso a un exploit antes del lanzamiento de los parches.

Más ataques…

  • Tonto Team. Comprometió los servidores de correo electrónico de una empresa de adquisiciones y de una empresa de consultoría especializada en desarrollo de software y ciberseguridad. Ambas empresas ubicadas en Europa del Este.
  • Actividad de ShadowPad. Comprometió los servidores de correo electrónico de una empresa de desarrollo de software asiática y una empresa de bienes raíces con sede en Oriente Medio. ESET detectó una variante de la puerta trasera ShadowPad lanzada por un grupo desconocido.
  • “Opera” Cobalt Strike – Se dirigió a alrededor de 650 servidores, principalmente en los Estados Unidos, Alemania, el Reino Unido y otros países europeos. Esto apenas unas horas después del lanzamiento de los parches.
  • Puertas traseras de IIS. ESET observó puertas traseras de IIS instaladas a través de shells web utilizadas en estos compromisos. Estas fueron detectadas en cuatro servidores de correo electrónico ubicados en Asia y América del Sur. Una de las puertas traseras se conoce públicamente como Owlproxy. 
  • Mikroceen. Comprometió el servidor Exchange de una empresa de servicios públicos en Asia Central, que es la región a la que suele dirigirse este grupo.
  • DLTMiner. ESET detectó la implementación de descargadores de PowerShell en varios servidores de correo electrónico que fueron atacados previamente con las vulnerabilidades de Exchange. La infraestructura de red utilizada en este ataque está vinculada a una campaña de minería de monedas reportada anteriormente.

Servidores

“Ahora está claramente más allá de la necesidad de parchear todos los servidores de Exchange lo antes posible”, concluyó ESET.

“Incluso aquellos que no están directamente expuestos a Internet deben recibir parches. Un atacante con pocos o sin privilegios de acceso a tu LAN puede explotar trivialmente estas vulnerabilidades. Esto para aumentar sus privilegios mientras compromete un servidor Exchange interno (y probablemente más sensible) y luego moverse lateralmente en él”.

En el informe de ESET se puede encontrar información detallada sobre los servidores comprometidos por estos grupos de hacking. También información los actores de amenazas detrás de la actividad maliciosa aún no atribuida, incluidos los indicadores de compromiso.

Más de 46,000 servidores siguen expuestos a ataques

Después de escanear 250,000 servidores Exchange en todo el mundo, el Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) encontró servidores aun vulnerables. El DIVD informó el martes que encontró 46,000 servidores sin parchear contra las vulnerabilidades fuertemente explotadas de ProxyLogon.

Las vulnerabilidades críticas fueron parcheadas por Microsoft el 2 de marzo. Además, Microsoft emitió actualizaciones de seguridad adicionales esta semana para múltiples versiones de Exchange no compatibles.

Redmond también ha actualizado la herramienta Microsoft Safety Scanner (MSERT). Esto para ayudar a los clientes a detectar shells web implementadas en los continuos ataques de Exchange Server.

Puedes encontrar información adicional sobre la instalación de las actualizaciones de seguridad en este  artículo publicado por el equipo de Microsoft Exchange .

Si aún no has parcheado y detectas signos de compromiso, debes eliminar las shells web implementados por los atacantes. Además, debes cambiar todas las credenciales e investigar la actividad maliciosa adicional en tus servidores.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información