Microsoft dice que las acciones de ransomware contra Exchange han sido ‘limitadas’

Microsoft emitió una nota que indica que la actividad de ransomware contra los servidores locales de Exchange comprometidos sigue siendo limitada, pero advierte a las organizaciones que el peligro aún está lejos de ser detectado.

El gigante del software está aconsejando a las empresas que han solucionado las cuatro fallas en Exchange que también tomen medidas correctivas para garantizar que no se abandonen los webshells (interfaces maliciosas basadas en web que permiten el acceso remoto o el control del servidor web) u otras puertas traseras (puertas traseras). atrasado en una actualización.

Los atacantes están recopilando credenciales para un posible uso posterior, por lo que incluso si la empresa ha parcheado sus servidores, los riesgos de un compromiso a largo plazo persisten, agrega la empresa. Estos riesgos incluyen ataques de ransomware, infiltraciones de criptomineros o intrusos que se mueven lateralmente hacia las redes de las organizaciones.

“Muchos de los sistemas comprometidos aún no han recibido una acción secundaria, pero a medida que continúan los ataques de ransomware operados por humanos o la exfiltración de datos, los atacantes pueden establecer y mantener el acceso para posibles acciones posteriores”, escribe el equipo de 365 Defender Threat Intelligence en Microsoft en un Blog. Esto significa que las organizaciones deben asegurarse de que se eliminen todas las puertas traseras.

La semana pasada, la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. Publicó dos nuevos informes de análisis de malware que describen variaciones del webshell de China Chopper que se ven en servidores Exchange comprometidos.

Microsoft predice que los sistemas que todavía tienen puertas traseras “se convertirán en parte de la compleja economía del ciberdelincuente, donde los operadores de ransomware adicionales y sus afiliados se aprovecharán”.

Si bien parte del ransomware implementado observado hasta ahora ha sido a pequeña escala o con errores, los grupos más capacitados pueden aprovechar las credenciales robadas para nuevos ataques, dice Microsoft. “Si el servidor no se ejecuta en una configuración de privilegios mínimos, el robo de credenciales puede proporcionar un retorno de la inversión significativo para un atacante, además de su acceso inicial al correo electrónico y los datos”, dice Microsoft.

En el radar: Pydomer Ransomware

La familia de ransomware Pydomer, que apuntó a las vulnerabilidades de Pulse Secure VPN, tuvo un comienzo tardío en apuntar a los servidores Exchange, dice Microsoft. Su actividad comenzó de verdad entre el 18 y el 20 de marzo, y el grupo lanzó webshells en al menos 1.500 sistemas. Pero no todos estos sistemas han sido rescatados.

Pydomer vuelca el contenido de la memoria del Servicio de subsistema de autoridad de seguridad local (LSASS), que es un proceso de Windows que contiene nombres de usuario y contraseñas locales. Como señaló la empresa de seguridad Deep Instinct, los volcados de LSASS eran una técnica habitual utilizada por la botnet Trickbot.

“Es probable que las credenciales con privilegios elevados obtenidas de un sistema Exchange contengan cuentas de administrador de dominio y cuentas de servicio con privilegios de respaldo, lo que significa que estos atacantes pueden realizar acciones de ransomware y exfiltración contra redes que se han comprometido mucho después de que el servidor Exchange se corrija e incluso ingrese a través de otros ”, escribe Microsoft.

vea eso
Los exploits de Exchange ahora son utilizados por botnet para minar criptomonedas
Microsoft lanza la herramienta de revisión de Exchange para pymes

Microsoft también describe una lucha en curso entre los grupos de ataque para controlar los servidores de Exchange comprometidos. Destaca el ejemplo de Lemon Duck, una botnet que utiliza máquinas comprometidas para extraer criptomonedas. Lemon Duck no descarga una cáscara web después de comprometer un sistema. En su lugar, utiliza métodos sin archivos y sin shell, empleando comandos directos de PowerShell.

En un caso, Lemon Duck golpeó un sistema que tenía un webshell colocado por otro grupo, dice Microsoft. Luego, Lemon Duck eliminó el acceso de ese operador de la amenaza y mitigó CVE-2021-26855, la falla de suplantación de solicitudes del lado del servidor, con un script de limpieza legítimo para que nadie más pudiera explotarlo.

“Esta acción evita una mayor explotación del servidor y elimina los shells de la web, dando a Lemon Duck acceso exclusivo al servidor comprometido”, escribe Microsoft. “Esto enfatiza la necesidad de investigar a fondo los sistemas que han sido expuestos, incluso si se han corregido y mitigado por completo, de acuerdo con el proceso tradicional de respuesta a incidentes”.

Microsoft solucionó las cuatro vulnerabilidades en la versión local de Exchange Server el 2 de marzo. En ese momento, RiskIQ estimó que unos 400.000 servidores Exchange eran vulnerables. Hasta el jueves 25, Microsoft dice que más del 92%, o alrededor de 368.000, se han corregido o mitigado.

Los servidores de Exchange han sido atacados agresivamente desde el 26 de febrero. Microsoft atribuyó la actividad inicial a un grupo sospechoso con sede en China, apodado Hafnium, pero otras empresas de seguridad notaron que hasta media docena de grupos de piratas informáticos atacaban los servidores de Exchange antes del parche.

Antes de que Microsoft lanzara los parches, la Fundación Shadowserver dijo que detectó que se habían comprometido 68,000 direcciones IP diferentes de servidores Exchange. Esto sugiere que la información sobre las vulnerabilidades, que fue descubierta por la empresa taiwanesa de pruebas de penetración Devcore, puede haberse filtrado. Otra posibilidad es que las vulnerabilidades hayan sido descubiertas en paralelo por otros grupos, sin embargo, Microsoft está investigando si una filtración pudo haber ocurrido a través de un socio en su Programa de Protección Activa.

Fuente: https://www.cisoadvisor.com.br/microsoft-diz-que-atividade-de-ransomware-contra-o-exchange-tem-sido-limitada/?rand=59052

También podría gustarte

More Similar Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.