Advirtiendo al mundo de una bomba de relojería en marcha – Krebs on Protection


A nivel mundial, cientos de miles de organizaciones que ejecutan servidores de correo electrónico Trade de Microsoft fueron pirateadas en masa, incluidas al menos 30.000 víctimas en los Estados Unidos. Cada servidor pirateado se ha actualizado con una puerta trasera de «shell net» que les da a los delincuentes un regulate remoto complete, la capacidad de leer todo el correo electrónico y un fácil acceso a las otras computadoras de la víctima. Los investigadores ahora están compitiendo para identificar, alertar y ayudar a las víctimas y, con suerte, evitar más caos.

El 5 de marzo, KrebsOnSecurity dio la noticia de que al menos 30.000 organizaciones y cientos de miles en todo el mundo habían sido pirateadas. Las mismas fuentes que compartieron esas cifras dicen que la lista de víctimas ha crecido considerablemente desde entonces, con muchas víctimas comprometidas por múltiples grupos de delitos cibernéticos.

Los expertos en seguridad ahora están tratando de alertar y ayudar a estas víctimas antes de que los piratas informáticos malintencionados lancen lo que muchos llaman «Etapa 2» con una mezcla de temor y anticipación, cuando los delincuentes vuelven a visitar todos estos servidores pirateados y los sembran con ransomware o piratería adicional herramientas para rastrear aún más profundamente las redes de víctimas.

Pero ese esfuerzo de rescate se ha visto obstaculizado por el gran volumen de ataques a estas vulnerabilidades de Trade y por la cantidad de grupos de piratería aparentemente distintos que compiten por el management de los sistemas vulnerables.

Un experto en seguridad que ha informado a los asesores federales y militares sobre la amenaza dice que muchas víctimas parecen tener más de un tipo de puerta trasera instalada. Algunas víctimas tenían tres de estos shells internet instalados. Uno fue acribillado con ocho puertas traseras distintas. Esto inicialmente provocó un recuento excesivo de víctimas potenciales y requirió una gran cantidad de eliminación de varias listas de víctimas.

La fuente, que habló bajo condición de anonimato, dijo que muchos en la comunidad de ciberseguridad vieron recientemente un gran aumento en los ataques a miles de servidores de Trade que luego se vincularon a un grupo de ciberdelincuentes con fines de lucro.

«Lo que pensamos que era la Etapa 2 en realidad period un grupo criminal que secuestró como 10,000 servidores de intercambio», dijo una fuente que informó a los asesores de seguridad nacional de EE. UU. Sobre el brote.

El 2 de marzo, cuando Microsoft publicó actualizaciones para tapar las cuatro fallas de Trade que estaban siendo atacadas, atribuyó la actividad de piratería a un grupo de ciberespionaje chino no identificado previamente al que llamó «Hafnium». Microsoft dijo que Hafnium había estado usando las fallas de Exchange para llevar a cabo una serie de ataques lentos y lentos contra objetivos estratégicos específicos, como organizaciones no gubernamentales (ONG) y grupos de expertos.

Pero para el 26 de febrero, esa actividad relativamente sigilosa se estaba transformando en la explotación masiva indiscriminada de todos los servidores Trade vulnerables. Eso significa que incluso los usuarios de Exchange que aplicaron el parche el mismo día que Microsoft lanzó las actualizaciones de seguridad pueden haber tenido servidores sembrados con puertas traseras.

Muchos expertos que hablaron con KrebsOnSecurity dijeron que creen que diferentes grupos de ciberdelincuentes de alguna manera se enteraron de los planes de Microsoft de enviar soluciones para las fallas de Exchange una semana antes de lo que esperaban (Microsoft apuntó originalmente hoy, martes de parches, como fecha de lanzamiento).

La actividad de escaneo de vulnerabilidades también aumentó notablemente después de que Microsoft lanzó sus actualizaciones el 2 de marzo. A los investigadores de seguridad les encanta romper parches en busca de pistas sobre los agujeros de seguridad subyacentes, y una de las principales preocupaciones es que varios grupos de ciberdelincuentes ya han descubierto cómo explotar los defectos de forma independiente.

EVITAR MASA-RANSOMWARE

Los expertos en seguridad ahora están tratando desesperadamente de llegar a decenas de miles de organizaciones víctimas con un solo mensaje: ya sea que ya haya parcheado o haya sido pirateado, Haga una copia de seguridad de los datos almacenados en esos servidores de inmediato.

Todas las fuentes con las que he hablado sobre este incidente dicen que esperan que los ciberdelincuentes con fines de lucro se abalancen sobre las víctimas mediante la implementación masiva de ransomware. Dado que muchos grupos ahora tienen instalados shells net de puerta trasera, sería trivial desatar ransomware en muchos de ellos de una sola vez. Además, los servidores de Exchange comprometidos pueden ser una puerta virtual al resto de la crimson de la víctima.

«Con el aumento de la cantidad de diferentes actores de amenazas que lanzan shells (net) en los servidores, el ransomware es unavoidable», dijo Allison Nixon, director de investigación en Unidad221B, una firma de investigaciones cibernéticas con sede en la ciudad de Nueva York.

Hasta ahora no hay señales de que las víctimas de este ataque masivo hayan sido rescatadas. Pero eso puede cambiar si el código de explotación utilizado para ingresar a estos servidores Exchange vulnerables se hace público. Y nadie a quien he entrevistado parece pensar que el código de explotación que funcione permanecerá inédito durante mucho más tiempo.

Cuando eso suceda, los exploits se incluirán en kits de prueba de exploits disponibles públicamente, lo que hará que sea sencillo para cualquier atacante encontrar y comprometer a un número decente de víctimas que aún no han parcheado.

VERIFICAR MI OWA

Nixon es parte de un grupo de líderes de la industria de la seguridad que están contribuyendo con datos y tiempo a una nueva plataforma de notificación de víctimas en línea llamada Revisa mi OWA (Outlook Web Obtain, el componente web orientado a World-wide-web de las máquinas Exchange Server).

Checkmyowa.device221b.com comprueba si su dominio de Exchange Server apareció en los registros de ataque o en las listas de dominios comprometidos conocidos.

Quizás sea mejor llamarlo un servicio de car-notificación que se opera desde el propio sitio internet de Device221B. Ingrese una dirección de correo electrónico en Verify My OWA, y si esa dirección coincide con el nombre de dominio de una organización víctima, esa dirección de correo electrónico recibirá un aviso.

“Nuestro objetivo es motivar a las personas con las que de otro modo nunca hubiéramos podido contactar”, dijo Nixon. «Mi esperanza es que si este sitio puede salir a la luz, entonces existe la posibilidad de que algunas empresas víctimas sean notificadas y tomen medidas o

Si el nombre de dominio del correo electrónico (cualquier cosa a la derecha del signo @) se detecta en su foundation de datos, el sitio enviará a ese usuario un correo electrónico indicando que ha observado el dominio de correo electrónico en una lista de dominios específicos.

«Los actores malintencionados pudieron comprometerse con éxito, y parte de esta información sugirió que podrían haber podido instalar un webshell en un servidor Exchange asociado con este dominio», se lee en uno de los mensajes a las víctimas. «Recomendamos encarecidamente guardar una copia de seguridad sin conexión de los correos electrónicos de su servidor Exchange de inmediato y consultar el sitio para obtener información adicional sobre parches y soluciones».

«Hemos observado que su dominio de correo electrónico aparece en nuestra lista de dominios que los actores malintencionados pudieron comprometer con éxito, y parte de esta información sugiere que pueden haber podido instalar un webshell en un servidor de Trade asociado con este dominio», es otro mensaje que el sitio puede devolver.

Nixon dijo que los usuarios de Trade pueden salvarse de un escenario potencialmente de pesadilla si simplemente hacen una copia de seguridad de los sistemas afectados ahora. Y dada la cantidad de adversarios que actualmente atacan los sistemas Exchange aún sin parchear, casi no hay forma de que esto no termine en un desastre para al menos algunas víctimas.

«Hay investigadores que ejecutan honeypots para (atraer) ataques de diferentes grupos, y esos honeypots están siendo bombardeados de izquierda a derecha», dijo. “Cuanto antes puedan ejecutar una copia de seguridad, mejor. Esto puede ayudar a evitar muchos dolores de cabeza «.

Ah, y una cosa más importante: querrá mantener las copias de seguridad desconectadas de todo. El ransomware tiende a infectar todo lo que puede, así que asegúrese de que al menos una copia de seguridad se almacene completamente fuera de línea.

«Simplemente desconéctelos de una computadora, colóquelos en un lugar seguro y ore para que no los necesite», dijo Nixon.


Etiquetas: Allison Nixon, Examine My OWA, Device221B

Esta entrada se publicó el martes 9 de marzo de 2021 a las 4:04 pm y está archivada en The Coming Storm, Time to Patch.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic