Microsoft comparte Trade Server después del compromiso …



Microsoft comparte los detalles de la actividad del ataque posterior a la explotación, incluidas múltiples cargas útiles de ransomware y una botnet de criptomonedas.

Microsoft ha compartido inteligencia que detalla la actividad posterior al compromiso observada en los ataques continuos de Trade Server, que han infectado objetivos vulnerables con ransomware y una botnet, entre otras actividades.

Se instó a las organizaciones de todo el mundo a parchear sus sistemas cuando Microsoft lanzó una solución para los días cero de Trade Server el 2 de marzo. Mientras que los parches para Trade Server se han incrementado, Informes de Microsoft, las actualizaciones no protegerán a las víctimas que ya se han visto comprometidas.

Esta semana, la compañía dio a conocer más información para advertir sobre la actividad posterior a la explotación observada en los servidores Exchange, que han sido atacados por atacantes que van desde ciberdelincuentes hasta grupos patrocinados por el estado. Si bien los primeros ataques se atribuyeron a un grupo que Microsoft llama Hafnium, las semanas posteriores al lanzamiento del parche han revelado que «muchos otros atacantes» utilizan el exploit.

Estos nuevos datos de amenazas y detalles técnicos están destinados a ayudar a los defensores a investigar si fueron atacados antes de la aplicación del parche y, de ser así, cómo pueden responder.

Microsoft señala que muchos sistemas comprometidos aún no han sufrido ataques secundarios como ransomware o exfiltración de datos. Esto podría indicar que los atacantes quizás se están quedando atrás y permanecen persistentes ante posibles ataques futuros, dice la compañía, o ya podrían usar credenciales y otros datos robados para comprometer las redes a través de otros vectores de ataque.

A partir del 25 de marzo, muchos de los sistemas sin parches que observó Microsoft tenían shell web. La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional ha advertido específicamente sobre el shell world wide web de China Chopper y ha agregado nueve de ellos a su guía de mitigación de Trade Server.

Se han visto varias familias de ransomware en los ataques. La primera fue una variante que Microsoft llama DoejoCrypt Estos ataques comienzan con una variante del shell Chopper Website que se implementa en un servidor Trade comprometido. El shell world-wide-web escribe un archivo por lotes que hace una copia de seguridad de la foundation de datos del Administrador de cuentas de seguridad (SAM) y de las colmenas del registro de seguridad y sistema, lo que permite a los atacantes acceder a las contraseñas de los usuarios locales.

En una publicación de website, el equipo de inteligencia de amenazas de Microsoft 365 Defender enfatiza la importancia del principio de privilegio mínimo. Debido a las configuraciones que se usan normalmente en los servidores Trade, dicen, es possible que muchos sistemas comprometidos tengan al menos un servicio o tarea configurada con una cuenta con muchos privilegios para completar tareas como copias de seguridad.

«Como las credenciales de la cuenta de servicio no se cambian con frecuencia, esto podría proporcionar una gran ventaja para un atacante incluso si pierde su acceso inicial a la shell world wide web debido a una detección de antivirus». el equipo escribe, ya que la cuenta se puede usar más tarde para elevar los privilegios.

Si bien DoejoCrypt era una nueva forma de ransomware, Microsoft señala que el acceso que obtienen los atacantes a través de estas vulnerabilidades probablemente será utilizado por otros grupos en el futuro. Esto ya se ha visto con Pydomer, la primera familia de ransomware existente que aprovecha las fallas de Exchange Server. Se ha visto anteriormente a Pydomer distribuyendo ransomware a través de errores en Pulse Secure VPN.

En este ataque, los operadores de Pydomer escanearon y comprometieron servidores Trade en masa para lanzar un shell net entre el 18 y el 20 de marzo de 2021. Los shells net se detectaron en unos 1.500 sistemas, dice Microsoft, aunque no todos fueron infectados con ransomware. En los sistemas que estaban, los atacantes utilizaron una estrategia de extorsión sin cifrado equivalent a la de Maze y Egregor.

«Esta opción podría haber sido semiautomatizada por su parte o un efecto secundario de una falla en su proceso de encriptación, ya que algunos de los sistemas a los que accedieron eran sistemas de prueba que no mostraron exfiltración de datos», escriben los funcionarios, señalando que la nota de rescate debe tomarse en serio. si se recibe.

Microsoft señala que «el número complete de ransomware se ha mantenido extremadamente pequeño hasta este punto», pero advierte a los defensores que recuerden que estas amenazas demuestran cómo los atacantes pueden cambiar rápidamente sus operaciones para atacar sistemas sin parches.

El equipo también detectó múltiples campañas de minería de criptomonedas entre las primeras cargas útiles que se vieron derivadas de shells world-wide-web posteriores a la explotación. Muchas de estas campañas se habían dirigido anteriormente a servidores de SharePoint y agregaron Trade Server a sus objetivos. Específicamente, notaron que Lemon Duck, una conocida botnet de criptomonedas, comprometía «numerosos» objetivos de Trade Sever y evolucionaba para implementar malware además de minar criptomonedas.

Kelly Sheridan es la editora de personalized de Dim Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first