Rara vez las campañas de ciberespionaje aparecen con la escala de la situación actual que afecta a Microsoft Exchange Server. Cuatro vulnerabilidades han sido utilizadas por un grupo de amenazas ligado a China, de acuerdo con Microsoft.
Se considera que al menos 30,000 organizaciones han sido atacadas en los Estados Unidos, pero el número podría ser mucho más grande de forma global — dándole a los hackers control remoto sobre los sistemas de las víctimas. En nuestra revisión más reciente de Shodan, aún existen alrededor de 63000 servidores expuestos que son vulnerables a estos exploits.
La aplicación de los parches disponibles debe de ser una prioridad, o también puede desonectar cualquier servidor vulnerable que pueda estar corriendo si no puede parcharlo de inmediato. En este momento, cualquiera con un servidor de Exchange necesita tomar medidas de investigación y revisar la existencia de señales de compromiso.
Respaldamos por completo las recomendaciones dadas por Microsoft y otros. Además, clientes existentes de XDR puedan usar búsquedas predeterminadas en Trend Micro Vision One para buscar señales del ataque en su ambiente. Estas búsquedas pueden encontrarse en este artículo de nuestra Base de Conocimientos, junto con detalles acerca de las detecciones y protecciones adicionales que los clientes pueden potenciar a lo largo de todas sus soluciones de seguridad.
¿Qué fue lo que sucedió?
Los ataques se han rastreado al 6 de enero de 2021, cuando un nuevo grupo de amenazas al que Microsoft denominó como “Hafnium” comenzaron a explotar cuatro bugs día-cero en Microsoft Exchange Server. El grupo está usando servidores virtuales privados (VPS) localizados en los Estados Unidos para intentar ocultar su verdadera ubicación. Microsoft liberó parches de emergencia la semana pasada, fuera de su tiempo normal de liberación, comentando en ese momento:
“En los ataques observados, el actor malicioso usó estas vulnerabilidades para acceder a los servidores on-premises de Exchange, los cuales habilitaron accesos a cuentas de correo electrónico y permitieron la instalación de malware adicional para facilitar acceso de largo plazo a los ambientes de las víctimas.”
Si se encadenan, las vulnerabilidades podrían utilizarse para permitirle a los atacantes autenticarse como el servidor de Exchange, correr código como el Sistema y escribir un archivo para cualquier camino en el servidor. después de aprovechar los cuatro bugs, se dice que Hafnium desplegó web shells qué le permitirían al grupo robar datos y realizar acciones maliciosas adicionales para comprometer aún más a sus blancos. esto podría incluir desplegar ransomware hacia las organizaciones.
Tanto la Casa Blanca como la Cybersecurity and Infrastructure Security Agency (CISA) en los Estados Unidos muestran preocupación acerca de las potenciales consecuencias de esta campaña. CISA ordenó a las agencias gubernamentales parchar ahora o desconectar sus servidores on-premises de Exchange.
También existe una posible conexión a la investigación del web shell Chopper ASPX que publicamos en enero de 2021. Trend Micro Research está analizando cómo podrían estar relacionadas estas campañas y si se deben esperar campañas relacionadas adicionales.
¿Me ha afectado?
La evaluación inicial de Microsoft declara que Hafnium se ha dirigido a organizaciones en sectores como el legal, educación superior, defensa, investigación de enfermedades infecciosas, ONGs y comités de expertos. Sin embargo, hay razón para pensar que la última ola de ataques pudo haber sido el trabajo de otros actores maliciosos. Sea cual sea la fuente, el ex lider de CISA Chris Krebs advierte que las PyMEs, las organizaciones del sector educativo y los gobiernos estatales y locales pueden verse afectados desproporcionalmente ya que éstos a menudo tienen menos recursos para invertir en seguridad.
Si usted corre servidores on-premises de Exchange, así es como puede revisar si ha sido afectado:
- Escanee sus logs de Exchange Server con la herramienta de detección de Microsoft para revisar si se le ha comprometido
- Realice un sweep manual con Trend Micro Vision One para detectar los Indicadores de Compromiso (IoCs) conocidos asociados con esta campaña.
¿Qué es lo que sigue?
Si ha realizado un escaneo, descubrió que su ambiente aún no ha sido comprometido y aún no ha parchado, aplique los parches liberados por Microsoft tan pronto sea posible.
Si realiza el escaneo utilizando la herramienta de Microsoft y detecta evidencia de que un atacante pudo haber explotado estas vulnerabilidades en su ambiente, debe entrar a la modalidad de respuesta a incidentes.
El enfoque que tome puede depender de sus recursos in-house y su situación. Estos son nuestros consejos para pequeñas y grandes organizaciones.
- Si no cuenta con un equipo de seguridad in-house, contacte a su vendor de seguridad o MSP para que le brinden apoyo
- Si cuenta con un equipo in-house de respuesta a incidentes, ellos se encargarán de identificar los siguientes pasos
- No vuelva a respaldar ninguna máquina hasta que un escaneo forense ha declarado que ya no cuenta con ningún IoC
- Contacte a su equipo legal para discutir los requerimientos de las notificaciones de brecha
Para mayor información sobre las detecciones y protecciones adicionales específicas para esta campaña que ofrece Trend Micro, por favor Revise este artículo de nuestra Base de Conocimientos, el cual se actualizará conforme vaya evolucionando la situación: https://success.trendmicro.com/solution/000285882.
Leave a Reply