Servidores de Microsoft Exchange podrían estar siendo comprometidos por ransomware sofisticado
Un nuevo y sofisticado grupo de ransomware ha surgido como una seria amenaza para las empresas que aún operan servidores Microsoft Exchange sin los parches de seguridad más recientes. Este grupo ha estado explotando 2 vulnerabilidades críticas, las cuales han sido recientemente descubiertas, con el objetivo de maximizar su capacidad de comprometer redes empresariales, según diversos informes de compañías de seguridad y expertos en ciberseguridad.
Los actores maliciosos han aprovechado una vulnerabilidad que afecta a los servidores de correo electrónico de Microsoft Exchange, para restablecer un punto de entrada inicial en las redes. Una vez dentro de las mismas, los hackers maliciosos utilizan técnicas avanzadas para moverse lateralmente, explotando y comprometiendo sistemas críticos.
Esta táctica ha sido documentada por diversas firmas de seguridad informática, especializada en la exploración y mitigación de vulnerabilidades, además de varios investigadores de ciberseguridad, quienes advierten acerca de la rapidez con la que estas vulnerabilidades están siendo explotadas.
Después de infiltrarse en la red mediante ProxyShell, los operadores maliciosos implementan un ataque, el cual les permite comprometer el controlador de dominio de Windows de la organización, el cual actúa como el núcleo de administración de la red. Una vez logrado el objetivo, despliegan sus payloads de cifrado en estaciones de trabajo conectadas, en donde bloquean archivos críticos y paralizan las operaciones empresariales.
Según informes publicados por empresas dedicadas a la ciberseguridad, este ransomware fue detectado por primera vez hace pocos años, cuando el mismo infectó la red de una compañía financiera con sede en los Estados Unidos.
Las observaciones más recientes indican actividad de este malware hasta hace pocas semanas de este año. Esto demuestra la rápida adaptación de los cibercriminales para aprovechar vulnerabilidades que se hacen públicas, modificándolas para que puedan seguir haciendo daño.
Tu empresa puede encontrarse vulnerable y propensa a recibir ataques informáticos, comprometiéndola seriamente y con la consecuencia d la paralización de sus procesos. Para evitar esta catástrofe, TIC Defense pone a tu disposición un conjunto de herramientas, soluciones, productos y servicios destinados a prevenir y ejecutar respuestas rápidas ante amenazas y ciberataques.
Aunque este ataque es relativamente nuevo, parece haber adoptado el estilo visual de las notas de rescate utilizado por otros grupos como LockBit, el cual ha sido un ransomware más conocido y activo en el mundo del cibercrimen.
Este intento de imitación podría estar diseñado para desviar la atención de los analistas de seguridad o bien, para aprovechar la reputación establecida por diversos grupos delictivos, como actores formidables en el panorama de amenazas cibernéticas.
Ante la creciente amenaza de grupos de ciberdelincuentes, las empresas deben tomar medidas inmediatas para fortalecer su postura de seguridad. Empezando con actualizar y parchear sistemas inmediatamente después de que se lancen las actualizaciones.
Igualmente, hay que estar seguros de que los servidores Microsoft Exchange se encuentren actualizados con los últimos parches de seguridad, para evitar la explotación de vulnerabilidades de este tipo. La segmentación de la red es importante, ya que se debe limitar el acceso entre diferentes parte de la red, con el objetivo de contener movimientos laterales en caso de una brecha de seguridad.
El surgimiento de eventos como este, ponen en evidencia la importancia de la vigilancia constante y la capacidad de respuesta rápida ante cualquier tipo de amenazas. Los ciberdelincuentes evolucionan sus técnicas rápidamente y las empresas deben estar preparadas para enfrentar nuevos y más sofisticados métodos.
