El FBI limpia los servidores Exchange infectados


Los federales eliminaron los shells world wide web que proporcionaban acceso por puerta trasera a los ciberdelincuentes en un exploit reciente de Microsoft Trade.

microsoft-exchange.png

Imagen: Microsoft

Las autoridades federales de los EE. UU. Han intervenido para eliminar el código de puerta trasera malicioso que los atacantes colocaron en servidores vulnerables de Microsoft Exchange en todo el país. en un comunicado de prensa publicado el martes, el Departamento de Justicia de EE. UU. anunció el esfuerzo autorizado por el tribunal para copiar y eliminar website shells que se habían instalado en versiones locales del software Microsoft Trade Server. Los shells web son piezas de código maliciosas que brindan a los atacantes acceso administrativo remoto continuo a un sistema comprometido.

VER: Los 10 ciberataques más importantes de la década (PDF gratuito) (TechRepublic)

En marzo, Microsoft y otras empresas revelaron una serie de ciberataques de piratas informáticos chinos y otros grupos en los que explotaron varias fallas de día cero en Exchange Server para acceder a cuentas de correo electrónico confidenciales. Los ataques surgieron inicialmente en enero, pero han continuado a medida que las organizaciones afectadas se apresuran a reparar las vulnerabilidades.

Muchos usuarios de Trade pudieron deshacerse de los shells website ellos mismos, según el DOJ. Pero otros no pudieron hacerlo, lo que llevó a los federales a intervenir. Este último esfuerzo eliminó los shells website restantes de un grupo de piratería específico, lo que le habría dado acceso persistente a los servidores de Trade en los EE. UU. Si se hubieran quedado.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

El FBI llevó a cabo la operación enviando un comando a través de cada shell website para obligar a los servidores a eliminar solo la parte del shell world-wide-web. Cada uno de los shells website tenía un nombre y una ubicación de archivo únicos, un factor que probablemente hizo que su eliminación fuera más difícil para las personas acostumbradas a trabajar con código genérico.

«Primero, este es un fuerte indicador de la medida en que estas vulnerabilidades se han aprovechado para fines nefastos y el riesgo de que el FBI perciba que están presentes», dijo Tim Wade, director técnico del equipo de CTO de Vectra. «En segundo lugar, es possible que esto también exponga los desafíos que enfrentan las organizaciones individuales en las fases de detección, respuesta y remediación de un ataque es possible que al menos un subconjunto de los que son objeto de acción por parte del FBI hayan parcheado, pero no estén lo suficientemente equipados para erradicar por completo el punto de apoyo del adversario «.

Aunque el FBI eliminó con éxito los shells web restantes, no eliminó ningún otro malware o componente de piratería que los atacantes pudieran haber instalado. Como tal, las organizaciones aún deben tomar medidas específicas para mitigar por completo la amenaza. Aquellos con servidores de Exchange internos deben seguir Orientación de Microsoft sobre los exploits y aplicar los parches necesarios para las vulnerabilidades de día cero.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

El FBI dijo que está notificando a los usuarios de Trade sobre la operación enviándoles directamente un correo electrónico a través de información de contacto disponible públicamente. Para los usuarios cuya información de contacto no es de acceso público, la agencia enviará los detalles por correo electrónico al ISP de la organización para que se los transmita a la víctima.

«La velocidad con la que el FBI realiza la notificación de víctimas es essential», dijo Rick Holland, CISO y vicepresidente de estrategia de Digital Shadows. «El proceso de notificación del FBI en sí mismo brinda a los actores la oportunidad de apuntar a nuevas víctimas. Los malos actores pueden configurar un señuelo de phishing que pretende provenir de una dirección legítima del FBI para realizar ingeniería social en sus objetivos».

Además, el esfuerzo del FBI no acaba con la amenaza.

«El FBI sólo eliminó los shells web, no las vulnerabilidades del computer software en sí», dijo Holland. «Los actores chinos sin duda ya habrán establecido formas adicionales de mantener la persistencia en sus redes de víctimas. Veremos una &#39fiebre del oro&#39 de otros actores maliciosos que buscan reinfectar los servidores Trade sin parches».

Ver también



Enlace a la noticia initial