Decenas de miles de organizaciones se exponen a ciberataques por problemas en Microsoft Exchange

Microsoft alertó a finales de la semana pasada que había detectado una serie de ataques llevados a cabo por diferentes agentes de amenazas que explotaban servidores de Microsoft Exchange. El alcance de esta amenaza aún se está calculando y los pormenores se están investigando, pero se cree que los ataques han llegado a decenas de miles de entidades y empresas de todo el mundo.

A pesar de que ya existe un parche para las cuatro vulnerabilidades que habilitan este ataque, la falla en uno de los servidores más populares de correo electrónico está teniendo repercusiones masivas en el panorama de ciberseguridad, pues siguen vigentes mientras las empresas avanzan en la instalación del parche y actualización de sus sistemas.

Microsoft indicó que al principio los ataques eran dirigidos a víctimas específicas y provenían de un grupo de ciberatacantes llamado “Hafnium” que no se había visto antes y se cree que opera desde China. Sin embargo, con el paso del tiempo el ataque se ha abierto a más grupos cibercriminales y ha dejado de seleccionar a sus víctimas con cautela para atacar a la mayor cantidad de sistemas en lo que queda de tiempo hasta que se terminen de instalar los parches.

El investigador de seguridad Brian Krebs calcula que la amenaza pudo haber afectado a más de 30.000 empresas, organizaciones y entidades gubernamentales sólo en los Estados Unidos. A esto habría que sumarle las víctimas del resto del mundo, ya que es una amenaza global. Entre ellas se encuentra la Autoridad Bancaria Europea (EBA), que anunció esta semana que había sufrido el ataque pero que no se habían comprometido los datos personales de sus clientes.

Con estos ataques, los ciberdelincuentes buscan tomar el control de los sistemas afectados y conseguir acceso a los correos electrónicos de las entidades afectadas. Entre sus víctimas se encuentran empresas, agencias gubernamentales, centros de investigación de salud, ONGs, universidades, y diferentes entidades que manejan información que podría ser valiosa.

Los ataques se comenzaron a detectar el 6 de enero, cuando los medios de comunicación estaban haciendo un seguimiento de los acontecimientos de la toma del Capitolio en los Estados Unidos. Los parches que solucionaban los problemas vinculados con esta amenaza se publicaron como una actualización de emergencia la semana pasada.

Sin embargo, el hecho de haber parchado los sistemas no significa que se esté a salvo de la amenaza. “Hemos visto decenas de casos en los que se depositaron los web shells en los sistemas de la víctima desde el 28 de febrero (antes de que Microsoft anunciara sus parches) hasta ahora”, dijo Adair, de Microsoft. “Aunque hayas instalado los parches el mismo día en que Microsoft los publicó, aún hay una gran probabilidad de que haya un web Shell en tu servidor”, agregó. “Lo cierto es que, si usas Exchange y aún no lo has parchado, hay una probabilidad muy alta de que tu organización esté comprometida.

Fuentes

Microsoft Exchange server hack: Banking agency on ‘heightened alert’ after cyberattack ZDNet
Microsoft Exchange Cyber Attack — What Do We Know So Far? The Hacker News
At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software Krebs on Security