Nuevo ataque de ransomware apunta a servidores vulnerables de Microsoft Exchange

Laptop Surface 3 13.5Fuente: Daniel Rubino / Windows Central

Otro grupo más de atacantes está apuntando a servidores vulnerables de Microsoft Exchange. Esta vez fue un grupo conocido como Conti, que utilizó la vulnerabilidad ProxyShell para irrumpir en las redes corporativas. La noticia del ataque provino de Sophos, que participa en casos de respuesta a incidentes (a través de Bleeping Computer).

ProxyShell se refiere a tres vulnerabilidades encadenadas de Microsoft Exchange. Cuando se explota, los atacantes pueden utilizarlo para una ejecución remota no autenticada. La vulnerabilidad fue descubierta por primera vez por Naranja tsai. También se dijo que la vulnerabilidad ProxyShell se usó en el reciente ataque LockFile.

Microsoft parcheó la vulnerabilidad de ProxyShell en mayo de 2021, pero desde entonces los investigadores y atacantes han reproducido el exploit (a través de Peter Json). Algunas organizaciones aún no han aplicado el parche de Microsoft, lo que deja a los servidores vulnerables. Dado que se han publicado los detalles técnicos de la vulnerabilidad, los actores de amenazas saben cómo explotarla en servidores sin parches.

Oferta de VPN: licencia de por vida por $ 16, plan mensual por $ 1 y más

El ataque de Conti llevó a los atacantes a comprometer servidores e instalar herramientas para obtener acceso remoto a los dispositivos. Los actores de la amenaza pueden entonces robar los datos no cifrados.

Un detalle preocupante de este ataque es su velocidad de finalización. "Dentro de las 48 horas posteriores a la obtención de ese acceso inicial, los atacantes habían extraído aproximadamente 1 Terabyte de datos", dijo Sophos. "Después de cinco días, distribuyeron el ransomware Conti a todas las máquinas de la red, y se dirigieron específicamente a los recursos compartidos de red individuales de cada computadora".

El atacante de Conti usó un correo electrónico de "@ evil.corp", lo que generó varias señales de alerta.

Para mantener los servidores protegidos, los administradores de servidores de Exchange deben aplicar la última actualización acumulativa de Microsoft.

Podemos ganar comisiones por compras usando nuestros enlaces. Estudia de nuevo.


Vía:

X-Tecno (Windows 11 Central)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir