A estas alturas, probablemente ya esté al tanto del último ataque informático a Microsoft. Las vulnerabilidades encontradas en los populares servidores Exchange de Microsoft son significativas, extensas y expansivas. Afectan a todos los que ejecutan correo electrónico a través de los rieles de la aplicación web Outlook de Microsoft. Si eso es lo que hace su empresa, debe asumir que ha sido víctima de un ataque informático y comenzar a aplicar su procedimiento de respuesta a incidentes (¡esperamos que tenga uno!).
Este ataque es masivo, tanto en su alcance como en su profundidad. Inicialmente se informó que más de 30.000 empresas se habían visto en peligro, pero sospechamos que la cifra era mucho mayor debido a la popularidad del software subyacente y al período de exposición. De hecho, la cifra real que informó posteriormente Microsoft se acercaba a los 400.000 servidores Exchange sin parchear.
La profundidad es aún más preocupante. El ataque permite a los actores de amenazas filtrar las comunicaciones de correo electrónico de su empresa. Las de todos, todas. También permite a los atacantes redactar mensajes de correo electrónico en su nombre, como sugerirle a su director financiero o gerente de banco que desvíen dinero hacia su nuevo yate (¡no todos los ataques son malvados!).
Pero hay más. El ataque permite a los atacantes instalar un shell web, una herramienta "amigable" para los atacantes que les permite volver a entrar fácilmente a través de las distintas defensas corporativas. Después de eso, todo lo que el atacante necesita es un navegador. ¡Incluso está protegido con contraseña para garantizar su seguridad! Si su organización cuenta con procedimientos y controles de seguridad adicionales, el trabajo del atacante será más difícil, a pesar de su ventaja inicial.
El problema real, sin embargo, es que muchas más organizaciones tienen servidores Exchange que buena seguridad.
Ahora que los atacantes están dentro de tu red comienza el verdadero trabajo y eso es lo que preocupa a todos.
La cuenta regresiva
El alcance de este ataque es bien conocido, por lo que ahora comienza la cuenta regresiva. Hay varias fuerzas en juego: ¿cómo hacemos que todos sean conscientes de un ataque masivo de este tipo?, ¿cómo hacemos que todos comprendan la gravedad para que tomen el siguiente paso para identificarlo y remediarlo?, y ¿cómo hacemos que todo esto suceda antes de que los atacantes decidan salir de sus web-shells y comenzar a recorrer los carriles de la red corporativa? Los movimientos laterales hacia activos de mayor valor pueden ser golpes devastadores para muchas de las organizaciones inicialmente afectadas por el ataque masivo a Exchange.
Según las publicaciones, parece que las puertas traseras que dejaron en los servidores los actores de amenazas originales han llegado a los mercados secundarios de la red oscura y se han vendido a otros grupos de cibercriminales. Esto significa que las reglas de juego podrían cambiar pronto y podrían surgir más ataques de muchas formas y maneras. Si la intención original era quizás recopilar información sobre organizaciones, vacunas, operaciones, etc., ahora podría estar cambiando para estar más "orientada a los negocios" desde una perspectiva de cibercrimen.
Si bien el número total de servidores sin parches en circulación está disminuyendo, el número de ataques está aumentando. La buena noticia es que, según Microsoft, el número de servidores sin parches disminuyó de 400 000 a 82 000 entre el 1 y el 11 de marzo. La mala noticia es que 82 000 servidores sin parches sigue siendo un número elevado.
Recomendaciones
Si ha sido expuesto, debe actuar rápidamente para proteger su organización. Lo primero que debe hacer es asegurarse de que su información valiosa esté respaldada de manera segura. Algunas copias recientes, en varios lugares separados y al menos una copia fuera de la red. Eso lo protege de la pérdida de información en caso de que un ataque esté dando lugar a un rescate en toda regla. Para abordar este ataque específico a Exchange, se deben tomar algunas medidas adicionales:
Identifique todas las instancias de servidores Microsoft Exchange locales.
Evalúe si existen anomalías en sus servidores de correo electrónico y en la red corporativa. Si existen indicadores de riesgo (IOC), deberá ejecutar herramientas de recopilación y análisis forense y solucionar el problema antes de continuar con el siguiente paso.
Parchee sus servidores Exchange.
Microsoft emitió una herramienta de escaneo gratuita para asegurarse de que los parches se aplicaron correctamente.
Para servidores Exchange más antiguos (final de vida útil), siga esta guía para obtener actualizaciones.
Le recomendamos que tome todas las medidas necesarias de inmediato para proteger su organización, ya que esta vulnerabilidad permite a un atacante obtener acceso más allá de su servidor de correo electrónico a su organización y lanzar un ciberataque en toda regla.
Ciberseguridad de armadura
Commenti