Los operadores de ransomware se están acumulando en servidores Exchange ya pirateados

Una nota de rescate estilizada solicita bitcoins a cambio de datos robados.

Los servidores de Microsoft Exchange comprometidos en una primera ronda de ataques están siendo infectados por segunda vez por una banda de ransomware que intenta sacar provecho de una serie de exploits que sorprendieron a organizaciones de todo el mundo.

El ransomware, conocido como Black Kingdom, DEMON y DemonWare, está exigiendo $ 10,000 para la recuperación de datos cifrados, dijeron investigadores de seguridad. El malware se está instalando en servidores Exchange que fueron previamente infectados por atacantes que explotan una vulnerabilidad crítica en el programa de correo electrónico de Microsoft. Los ataques comenzaron cuando la vulnerabilidad aún era de día cero. Incluso después de que Microsoft emitió un parche de emergencia, se infectaron hasta 100.000 servidores que no lo instalaron a tiempo.

La oportunidad toca a tu puerta

Los piratas informáticos detrás de esos ataques instalaron un shell web que permitía a cualquiera que conociera la URL controlar completamente los servidores comprometidos. Reino Negro fue visto la semana pasada por la firma de seguridad SpearTip. Marcus Hutchins, investigador de seguridad de la firma de seguridad Kryptos Logic, informó el domingo que el malware en realidad no cifró archivos.

El martes por la mañana, el analista de inteligencia de amenazas de Microsoft Kevin Beaumont informó que un ataque del Reino Negro cifrar archivos

.

La firma de seguridad Arete el lunes también reveló ataques del Reino Negro.

Reino Negro fue visto en junio pasado por la firma de seguridad RedTeam. El ransomware se estaba apoderando de los servidores que no pudieron parchear una vulnerabilidad crítica en el software Pulse VPN. Black Kingdom también hizo una aparición a principios del año pasado.

Brett Callow, analista de seguridad de Emsisoft, dijo que no estaba claro por qué uno de los recientes ataques del Black Kingdom no pudo cifrar los datos.

“La versión inicial encriptaba los archivos, mientras que una versión posterior simplemente los renombraba”, escribió en un correo electrónico. “No está claro si ambas versiones se operan simultáneamente. Tampoco está claro por qué alteraron su código, tal vez porque el proceso de cambio de nombre (cifrado falso) no sería detectado o bloqueado por productos de seguridad “.

Añadió que una versión del ransomware utiliza un método de cifrado que en muchos casos permite restaurar los datos sin pagar un rescate. Pidió que no se detallara el método para evitar que los operadores del ransomware corrigieran la falla.

Parchar no es suficiente

Ni Arete ni Beaumont dijeron si los ataques de Black Kingdom estaban afectando a servidores que aún no habían instalado el parche de emergencia de Microsoft o si los atacantes simplemente se estaban apoderando de shells web mal asegurados instalados anteriormente por un grupo diferente.

Hace dos semanas, Microsoft informó que una cepa separada de ransomware llamada DearCry se estaba apoderando de los servidores que habían sido infectados por Hafnium. Hafnium es el nombre que la compañía le dio a los piratas informáticos patrocinados por el estado en China que fueron los primeros en usar ProxyLogon, el nombre dado a una cadena de exploits que obtiene un control completo sobre los servidores Exchange vulnerables.

La firma de seguridad SpearTip, sin embargo, dijo que el ransomware estaba dirigido a servidores “después de la explotación inicial de las vulnerabilidades de intercambio de Microsoft disponibles”. El grupo que instaló el ransomware de la competencia DearCry también se aprovechó.

Black Kingdom llega cuando el número de servidores vulnerables en los EE. UU. Se redujo a menos de 10,000, de acuerdo a Politico, que citó a un portavoz del Consejo de Seguridad Nacional. Había alrededor de 120.000 sistemas vulnerables a principios de este mes.

Como subrayan los siguientes ataques de ransomware, la aplicación de parches a los servidores no es ni mucho menos una solución completa a la actual crisis de los servidores de Exchange. Incluso cuando los servidores reciben las actualizaciones de seguridad, aún pueden infectarse con ransomware si quedan shells web.

Microsoft insta a las organizaciones afectadas que no tienen personal de seguridad experimentado a ejecutar esta secuencia de comandos de mitigación de un clic.

Leave a Reply

Your email address will not be published. Required fields are marked *