Las vulnerabilidades de Microsoft Trade Server y el ransomware lideran las tendencias de ciberataques de la primavera de 2021


El equipo Talos de Cisco dijo que el 35% de los incidentes derivaron en vulnerabilidades de Microsoft Trade Server reportadas a principios de 2021, pero que nuevas familias de ransomware también han aparecido para llenar el vacío de Emotet.

ataque cibernético, violación de datos

Rawpixel, Getty Illustrations or photos / iStockphoto

Talos Intelligence Team de Cisco ha publicado su informe de tendencias de respuesta a incidentes para primavera 2021, y descubrió que las vulnerabilidades de Microsoft Trade Server informadas a principios de 2021 fueron el incidente más detectado en los últimos tres meses.

Talos dijo que las cuatro vulnerabilidades de Exchange Server, que ahora tienen un parche, representan el 35% de todas las investigaciones de incidentes. «Cuando una vulnerabilidad se revela recientemente, es grave y generalizada, (nosotros) a menudo veremos un aumento correspondiente en los compromisos en los que están involucradas las vulnerabilidades en cuestión».

Además de los ataques generalizados a Trade Server, Talos dijo que también notó una amenaza de ransomware «persistente y creciente» a pesar de la eliminación en enero de la botnet Emotet, que a menudo se usaba para lanzar ataques de ransomware como servicio.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Top quality)

Las familias de ransomware MountLocker, Zeppelin y Avaddon se detectaron recientemente en la primavera de 2021, dijo Talos, y todas se ajustan al modelo de ransomware como servicio utilizado por Emotet. En resumen, la amenaza del ransomware de fácil implementación y rápida disponibilidad no desaparece.

El ransomware ha atacado a una larga lista de industrias, pero el sector de la salud lideró en la primavera con casi cuatro veces más incidentes que el siguiente más dirigido, la educación y la tecnología. Esto continúa una desafortunada tendencia observada en el trimestre anterior de 2021, dijo Talos, y sugiere que los ciberdelincuentes continúan apuntando a la atención médica porque la pandemia de COVID-19 hace que sea esencial que restauren los servicios lo más rápido posible, lo que aumenta las posibilidades de que una organización de atención médica paga.

Talos dijo que la mayor parte de su energía se dedicó a trabajar en las vulnerabilidades de Microsoft Trade Server, pero también informa que la mayoría solo resultó en intentos de escaneo y solicitudes HTTP Put up sin ninguna evidencia posterior a la explotación.

La razón de la falta de ataques exitosos, dijo Talos, es la naturaleza de una de las hazañas, que requiere que el atacante use una cuenta de administrador válida para aprovechar con éxito el exploit y, en la mayoría de los casos, las direcciones intentadas no eran válidas.

En los casos en que fueran válidos, evidencia «de probable actividad posterior a la explotación, incluida la creación y escritura de shells web, el uso de utilidades como ProcDump asociado con la posible recolección de credenciales y la compresión y archivo de datos con utilidades como MakeCab (makecab .exe) o WinRAR para preparar una posible exfiltración «, dijo Talos.

El bajo nivel de actividad posterior a la explotación llevó a Talos a concluir que los atacantes intentaban rápida e indiscriminadamente obtener acceso a una gran cantidad de redes antes de que se parchearan los servidores Exchange vulnerables.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Las organizaciones con servidores Microsoft Exchange deben tomar varias medidas para protegerse contra la explotación de estas vulnerabilidades, incluida la instalación del parches que abordan los cuatro exploits. También es importante no utilizar nombres de administrador predeterminados en las cuentas de administrador, ya que son fáciles de adivinar con fines de explotación.

Talos también recomienda mantener todos los registros de Exchange Server. La mayoría de los casos utilizaron vectores iniciales desconocidos debido a una tala insuficiente.

Ver también



Enlace a la noticia unique