imágenes falsas
Ahora las organizaciones que utilizan Microsoft Exchange tienen un nuevo dolor de cabeza en materia de seguridad: ransomware nunca antes visto que se está instalando en servidores que ya estaban infectados por piratas informáticos patrocinados por el estado en China.
Microsoft informó la nueva familia de implementación de ransomware el jueves por la noche, diciendo que se estaba implementando después del compromiso inicial de los servidores. El nombre de Microsoft para la nueva familia es Ransom: Win32 / DoejoCrypt.A. El nombre más común es DearCry.
Hemos detectado y ahora estamos bloqueando una nueva familia de ransomware que se está utilizando después de un compromiso inicial de servidores Exchange locales sin parches. Microsoft protege contra esta amenaza conocida como Ransom: Win32 / DoejoCrypt.A, y también como DearCry.
– Inteligencia de seguridad de Microsoft (@MsftSecIntel) 12 de marzo de 2021
Llevando a cuestas el hafnio
Firma de seguridad Kryptos Logic dicho Viernes por la tarde que detectó servidores Exchange comprometidos con Hafnium que luego fueron infectados con ransomware. El investigador de seguridad de Kryptos Logic, Marcus Hutchins, le dijo a Ars que el ransomware es DearCry.
“Acabamos de descubrir 6970 webshells expuestos que están expuestos públicamente y fueron colocados por actores que explotan la vulnerabilidad de Exchange”, dijo Kryptos Logic. “Estos shells se utilizan para implementar ransomware”. Los Webshells son puertas traseras que permiten a los atacantes utilizar una interfaz basada en navegador para ejecutar comandos y ejecutar código malicioso en los servidores infectados.
Acabamos de descubrir 6970 webshells expuestos que están expuestos públicamente y fueron colocados por actores que explotan la vulnerabilidad de Exchange. Estos shells se utilizan para implementar ransomware. Si está registrado en Telltale (https://t.co/caXU7rqHaI) puedes comprobar que no estás afectado pic.twitter.com/DjeM59oIm2
– Lógica de Kryptos (@kryptoslogic) 12 de marzo de 2021
Cualquiera que conozca la URL de una de estas webshells públicas puede obtener un control completo sobre el servidor comprometido. Los piratas informáticos DearCry están utilizando estos shells para implementar su ransomware. Los webshells fueron instalados inicialmente por Hafnium, el nombre que Microsoft le ha dado a un actor de amenazas patrocinado por el estado que opera fuera de China.
Hutchins que los ataques son “operados por humanos”, lo que significa que un pirata informático instala manualmente ransomware en un servidor Exchange a la vez. No todos los casi 7.000 servidores han sido afectados por DearCry.
“Básicamente, estamos empezando a ver a actores criminales que utilizan los proyectiles que dejó Hafnium para afianzarse en las redes”, explicó Hutchins.
El despliegue de ransomware, que los expertos en seguridad han dicho que era inevitable, subraya un aspecto clave sobre la respuesta continua a los servidores seguros explotados por ProxyLogon. No es suficiente simplemente instalar los parches. Sin eliminar las webshells que quedaron atrás, los servidores permanecen abiertos a la intrusión, ya sea por parte de los piratas informáticos que originalmente instalaron las puertas traseras o de otros piratas informáticos que descubren cómo obtener acceso a ellas.
Se sabe poco sobre DearCry. Firma de seguridad Sophos dicho que está basado en un criptosistema de clave pública, con la clave pública incrustada en el archivo que instala el ransomware. Eso permite que los archivos se cifren sin la necesidad de conectarse primero a un servidor de comando y control. Para descifrar los datos, las víctimas deben obtener la clave privada que solo conocen los atacantes.
Lo que necesitas saber sobre #DearCry por Mark Loman (@markloman) Director, oficina de tecnología de ingeniería, Sophos (un hilo):
Desde el punto de vista del comportamiento de cifrado, DearCry es lo que los expertos en ransomware de Sophos denominan ransomware “Copia”.
1/9
– SophosLabs (@SophosLabs) 12 de marzo de 2021
Entre los primeros en descubrir DearCry estuvo Mark Gillespie, un experto en seguridad que dirige un servicio que ayuda a los investigadores identificar cepas de malware. El jueves, informó que a partir del martes comenzó a recibir consultas de servidores Exchange en los EE. UU., Canadá y Australia por malware que tenía la cadena “DEARCRY”.
El mas tarde encontré a alguien publicando en un foro de usuarios en Bleeping Computer diciendo que el ransomware se estaba instalando en servidores que habían sido explotados por primera vez por Hafnium. Ordenador que suena pronto confirmó la corazonada.
John Hultquist, vicepresidente de la firma de seguridad Mandiant, dijo que respaldar a los piratas informáticos que instalaron las carcasas web puede ser un medio más rápido y eficiente para implementar malware en servidores sin parche que explotar las vulnerabilidades de ProxyLogon. Y como ya se mencionó, incluso si los servidores están parcheados, los operadores de ransomware aún pueden comprometer las máquinas cuando no se han eliminado los webshells.
“Anticipamos una mayor explotación de las vulnerabilidades del intercambio por parte de los actores del ransomware en el corto plazo”, escribió Hultquist en un correo electrónico. “Aunque muchas de las organizaciones aún sin parchear pueden haber sido explotadas por actores de ciberespionaje, las operaciones de ransomware criminales pueden representar un mayor riesgo ya que perturban las organizaciones e incluso extorsionan a las víctimas liberando correos electrónicos robados”.
Publicación actualizada para eliminar “7.000” del titular y para aclarar que no todos han sido infectados con ransomware.