🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Servidores de Microsoft Exchange están siendo atacados por un nuevo ransomware

Una nueva banda de ransomware conocida como LockFile está cifrando los dominios de Windows después de hackear los servidores de Microsoft Exchange. Para lograr su objetivo, la banda está utilizando las vulnerabilidades de ProxyShell reveladas recientemente.

ProxyShell es el nombre de un ataque que consta de tres vulnerabilidades encadenadas de Microsoft Exchange. Estas vulnerabilidades dan como resultado la ejecución de código remoto no autenticado.

Las tres vulnerabilidades fueron descubiertas por la investigadora de seguridad de Devcore, Orange Tsai, quien las encadenó para tomar el control de un servidor de Microsoft Exchange. Este incidente ocurrió en el concurso de hacking Pwn2Own 2021 en abril de este año.

Las vulnerabilidades descubiertas son las siguientes:

  • CVE-2021-34473 – confusión de ruta previa a la autenticación que conduce a la derivación de ACL (parcheada en abril por KB5001779)
  • CVE-2021-34523 – Elevación de privilegios en el backend de Exchange PowerShell (parcheada en abril por KB5001779)
  • CVE-2021-31207 – Escritura arbitraria de archivos posterior a la autenticación que conduce a RCE (parcheada en mayo por KB5003435)

Si bien Microsoft parcheó completamente estas vulnerabilidades en mayo de 2021, recientemente se revelaron más detalles técnicos. Estos detalles permitieron a los investigadores de seguridad y a los actores de amenazas reproducir el exploit.

Explotación de las vulnerabilidades

Tal como hemos informado en artículos anteriores, ciberdelincuentes están buscando hackear servidores de Microsoft Exchange de forma activa utilizando las vulnerabilidades de ProxyShell.

Después de explotar un servidor Exchange, los atacantes ejecutan shells web que podrían usarse para cargar otros programas y ejecutarlos.

Por su parte, el investigador de vulnerabilidades de NCC Group, Rich Warren, dijo que las shells web se estaban utilizando para instalar una puerta trasera .NET. Esta puerta estaba descargando un payload inofensivo en ese momento.

Desde entonces, el investigador de seguridad Kevin Beaumont reportó que una nueva operación de ransomware conocida como LockFile está utilizando las vulnerabilidades ProxyShell de Microsoft Exchange y Windows PetitPotam para tomar el control de los dominios de Windows y cifrar dispositivos.

Al vulnerar una red, los ciberdelincuentes primero acceden al servidor de Microsoft Exchange en las instalaciones utilizando las vulnerabilidades de ProxyShell. Una vez que logran establecerse, Symantec dice que la banda LockFile usa la vulnerabilidad PetitPotam para tomar el control de un controlador de dominio. Y, por lo tanto, del dominio de Windows.

A partir de ahí, es trivial implementar el ransomware en toda la red.

Lo que sabemos sobre el ransomware LockFile

En este momento, no se sabe mucho sobre la nueva operación de ransomware LockFile.

Cuando se observó por primera vez en julio, la nota de rescate se llamaba ‘LOCKFILE-README.hta‘. Sin embargo, no tenía ninguna marca en particular, como se muestra a continuación.

Notas de rescate antiguas de LockFile

A partir de la semana pasada, algunos medios reportaron sobre una banda de ransomware que usaba notas de rescate con su propia marca que indicaban que se llamaba ‘LockFile’. A continuación puedes ver un ejemplo de estas notas:

Estas notas de rescate usan un formato de nomenclatura de ‘[nombre_víctima]-LOCKFILE-README.hta‘. En la nota, los atacantes pedían a la víctima que los contactara a través de Tox o correo electrónico para negociar el rescate. La dirección de correo electrónico actual utilizada por la banda es contact@contipauper.com, que parece ser una referencia a la banda de ransomware Conti.

Si bien los esquemas de color de las notas de rescate son similares, los métodos de comunicación y la redacción no dejan claro si son la misma banda.

De particular interés es que el esquema de color y el diseño de las notas de rescate es muy similar al ransomware LockBit. Sin embargo, no parece haber ninguna relación.

Al cifrar archivos, el ransomware agrega la   extensión .lockfile a los nombres de los archivos cifrados.

Ayer por la tarde, cuando el experto en ransomware Michael Gillespie analizó la versión de julio de LockFile e hizo algunos descubrimientos importantes.  El descubrió que era un ransomware molesto, que ocupaba muchos recursos del sistema y provocaba bloqueos temporales de la computadora.

¡Debes parchear ahora!

Dado que la banda LockFile utiliza tanto las vulnerabilidades de Microsoft Exchange ProxyShell como la vulnerabilidad de Windows PetitPotam NTLM, es imperativo que los administradores de Windows instalen las últimas actualizaciones.

Para las vulnerabilidades de ProxyShell, pueden instalar las  últimas actualizaciones acumulativas de Microsoft Exchange  para parchear las vulnerabilidades.

El ataque de Windows PetitPotam se complica un poco ya que la actualización de seguridad de Microsoft está incompleta. Esto significa que no repara todos los vectores de la vulnerabilidad.

Para parchear el ataque PetitPotam, puedes usar un parche no oficial de 0patch para bloquear este vector de ataque de retransmisión NTLM. Asimismo, puedes aplicar filtros NETSH RPC que bloquean el acceso a funciones vulnerables en la API MS-EFSRPC.

Beaumont dice que puedes realizar las siguientes consultas de Azure Sentinel. Estas consultas te permiten verificar si tu servidor de Microsoft Exchange ha sido escaneado en busca de la vulnerabilidad ProxyShell.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "PowerShell" | where csMethod == "POST"

Recomendamos encarecidamente a todas las organizaciones que apliquen los parches lo antes posible y creen copias de seguridad sin conexión de sus servidores Exchange.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información