Servidores de Exchange que fueron comprometidos por primera vez por piratas informáticos chinos afectados por ransomware


Servidores de Exchange que fueron comprometidos por primera vez por piratas informáticos chinos afectados por ransomware

imágenes falsas

Ahora las empresas que utilizan Microsoft Exchange tienen nuevas preocupaciones de seguridad: ransomware nunca antes visto instalado en servidores que ya han sido infectados por piratas informáticos patrocinados por el gobierno en China.

Microsoft informó La nueva familia de implementación de ransomware se implementó el jueves por la noche después del primer compromiso entre los servidores. Se llama a Microsoft para la nueva familia Ransom: Win32 / DoejoCrypt.A. El nombre más común es DearCry.

A cuestas delante de hafnio

Empresa de seguridad Kryptos Logic dicho El viernes por la tarde se descubrieron servidores de Exchange comprometidos por Hafnium que luego fueron infectados con ransomware. El investigador de seguridad de Kryptos Logic, Marcus Hutchins, le dijo a Ars que el ransomware es DearCry.

«Acabamos de descubrir 6970 webshells expuestos que están disponibles públicamente y colocados por actores que están explotando la vulnerabilidad de Exchange», dijo Kryptos Logic. «Estos shells se utilizan para implementar ransomware». Los Webshells son puertas traseras que permiten a los atacantes utilizar una interfaz basada en navegador para ejecutar comandos y ejecutar código malicioso en los servidores infectados.

Cualquiera que conozca la URL de una de estas webshells públicas puede tomar el control total del servidor comprometido. Los piratas informáticos de DearCry utilizan estos shells para entregar su ransomware. Los webshells fueron instalados originalmente por Hafnium, el nombre que Microsoft le dio a un actor de amenazas patrocinado por el gobierno de China.

Hutchins afirma que los ataques son «operados por humanos», lo que significa que un pirata informático instala manualmente ransomware en un servidor de Exchange a la vez. DearCry no llegó a todos los casi 7.000 servidores.

«Básicamente, vemos a actores criminales que usan granadas dejadas por el hafnio para hacerse un hueco en las redes», dijo Hutchins.

El despliegue de ransomware, que los expertos en seguridad creen que era inevitable, subraya un aspecto importante de la respuesta continua a los servidores seguros que están siendo explotados por ProxyLogon. No es suficiente simplemente instalar los parches. Sin eliminar las webshells sobrantes, los servidores permanecen abiertos a la intervención, ya sea de los piratas informáticos que originalmente instalaron las puertas traseras o de otros piratas informáticos que descubren cómo acceder a ellas.

Se sabe poco sobre DearCry. Empresa de seguridad Sophos dicho que se basa en un criptosistema de clave pública, con la clave pública incrustada en el archivo donde está instalado el ransomware. Esto permite cifrar los archivos sin tener que conectarse primero a un servidor de comando y control. Para descifrar los datos, las víctimas deben obtener la clave privada, que solo conocen los atacantes.

Uno de los primeros en descubrir DearCry fue Mark Gillespie, un investigador de seguridad que administra un servicio que permite a los investigadores identificar cepas de malware. El jueves tiene informó A partir del martes, recibió solicitudes de servidores de Exchange en los EE. UU., Canadá y Australia de malware con la cadena «DEARCRY».

El mas tarde Encontré a alguien que publicó en un foro de usuarios. en Bleeping Computer que el ransomware se instaló en servidores que fueron explotados por primera vez por Hafnium. Bleeping Computer pronto confirmó la sospecha.

John Hultquist, vicepresidente de la empresa de seguridad Mandiant, dijo que llevar a cuestas a los piratas informáticos que instalaron los webshells puede ser un medio más rápido y eficiente de implementar malware en servidores sin parche que explotar las vulnerabilidades de ProxyLogon. Y como se mencionó anteriormente, los operadores de ransomware pueden poner en peligro las computadoras incluso si los servidores no se han eliminado.

«Esperamos una mayor explotación de las vulnerabilidades del intercambio por parte de los actores del ransomware en un futuro próximo», escribió Hultquist en un correo electrónico. «Si bien muchas de las organizaciones sin parchear pueden haber sido explotadas por actores de ciberespionaje, las operaciones de ransomware criminales pueden representar un riesgo mayor al interrumpir organizaciones e incluso chantajear a las víctimas mediante la liberación de correos electrónicos robados».

Se actualizó la publicación para eliminar «7,000» del encabezado e indicar que no todos han sido infectados con ransomware.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *