Al menos 30,000 organizaciones de EE. UU. recientemente pirateadas a través de agujeros en el software de correo electrónico de Microsoft: Krebs on Security

Al menos 30,000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales, han sido pirateadas en los últimos días por una unidad china de espionaje cibernético inusualmente agresiva que se enfoca en robar correo electrónico de organizaciones víctimas, múltiples las fuentes le dicen a KrebsOnSecurity. El grupo de espionaje está explotando cuatro fallas recién descubiertas en Servidor de Microsoft Exchange software de correo electrónico, y ha sembrado cientos de miles de organizaciones de víctimas en todo el mundo con herramientas que dan a los atacantes un control total y remoto sobre los sistemas afectados.

Al menos 30000 organizaciones de EE UU recientemente pirateadas a

El 2 de marzo, Microsoft lanzó actualizaciones de seguridad de emergencia para tapar cuatro agujeros de seguridad en las versiones de Exchange Server 2013 a 2019 que los piratas informáticos estaban utilizando activamente para desviar las comunicaciones por correo electrónico de los sistemas orientados a Internet que ejecutan Exchange.

Microsoft dijo que las fallas de Exchange están siendo atacadas por un equipo de piratería chino no identificado previamente al que denominó “Hafnio”, y dijo que el grupo había estado realizando ataques dirigidos a sistemas de correo electrónico utilizados por una variedad de sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG.

En los tres días transcurridos desde entonces, los expertos en seguridad dicen que el mismo grupo de espionaje cibernético chino ha intensificado drásticamente los ataques a cualquier servidor Exchange vulnerable y sin parches en todo el mundo.

En cada incidente, los intrusos han dejado atrás un «web shell», una herramienta de piratería fácil de usar y protegida con contraseña a la que se puede acceder a través de Internet desde cualquier navegador. El shell web brinda a los atacantes acceso administrativo a los servidores de la computadora de la víctima.

Hablando bajo condición de anonimato, dos expertos en seguridad cibernética que informaron a los asesores de seguridad nacional de EE. UU. sobre el ataque le dijeron a KrebsOnSecurity que el grupo de piratería chino que se cree que es responsable ha tomado el control de «cientos de miles» de Microsoft Exchange Servers en todo el mundo, y cada sistema víctima representa aproximadamente una organización que usa Exchange para procesar el correo electrónico.

de Microsoft aviso inicial sobre las fallas de Exchange acreditado con sede en Reston, Virginia Volexidad para reportar las vulnerabilidades. Presidente de Volexidad steven adair dijo la empresa vio por primera vez a los atacantes explotar silenciosamente los errores de Exchange el 6 de enero de 2021un día en que la mayor parte del mundo estaba pegado a la cobertura televisiva de los disturbios en el Capitolio de los Estados Unidos.

Pero Adair dijo que en los últimos días el grupo de hackers se ha acelerado, moviéndose rápidamente para escanear Internet en busca de servidores Exchange que aún no estaban protegidos por las actualizaciones de seguridad que Microsoft lanzó el martes.

“Hasta ahora, hemos trabajado en docenas de casos en los que se colocaron shells web en el sistema de la víctima el 28 de febrero. [before Microsoft announced its patches], todo el camino hasta hoy”, dijo Adair. “Incluso si parcheó el mismo día que Microsoft publicó sus parches, todavía hay una gran posibilidad de que haya un shell web en su servidor. La verdad es que si está ejecutando Exchange y aún no ha reparado esto, existe una gran posibilidad de que su organización ya esté comprometida».

Alcanzado para hacer comentarios, Microsoft dijo que está trabajando en estrecha colaboración con el Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), otras agencias gubernamentales y empresas de seguridad, para garantizar que proporciona la mejor orientación y mitigación posibles para sus clientes.

“La mejor protección es aplicar actualizaciones lo antes posible en todos los sistemas afectados”, dijo un portavoz de Microsoft en una declaración escrita. “Seguimos ayudando a los clientes al proporcionar orientación adicional sobre investigación y mitigación. Los clientes afectados deben comunicarse con nuestros equipos de soporte para obtener ayuda y recursos adicionales”.

Mientras tanto, CISA ha emitido una directiva de emergencia ordenar a todos los departamentos y agencias civiles federales que ejecutan servidores Microsoft Exchange vulnerables que actualicen el software o desconecten los productos de sus redes.

Adair dijo que recibió docenas de llamadas hoy de agencias gubernamentales estatales y locales que identificaron las puertas traseras en sus servidores de Exchange y piden ayuda. El problema es que reparar las fallas solo bloquea las cuatro formas diferentes que los piratas informáticos están usando para ingresar. Pero no hace nada para deshacer el daño que ya se pudo haber hecho.

1671303087 220 Al menos 30000 organizaciones de EE UU recientemente pirateadas a

Un tuit de Chris Krebs, exdirector de la Agencia de Seguridad de Infraestructura y Ciberseguridad, en respuesta a un tuit del Asesor de Seguridad Nacional de la Casa Blanca, Jake Sullivan.

secretaria de prensa de la casa blanca Jen Psaki dijo a los periodistas hoy las vulnerabilidades encontradas en los servidores Exchange ampliamente utilizados de Microsoft fueron «significativas» y «podrían tener impactos de gran alcance».

“Nos preocupa que haya un gran número de víctimas”, dijo Psaki.

Según todos los informes, erradicar a estos intrusos requerirá un esfuerzo de limpieza urgente y sin precedentes a nivel nacional. Adair y otros dicen que les preocupa que cuanto más tarden las víctimas en eliminar las puertas traseras, más probable es que los intrusos sigan instalando puertas traseras adicionales y quizás ampliando el ataque para incluir otras partes de la infraestructura de red de la víctima. .

Los investigadores de seguridad han publicado varias herramientas para detectar servidores vulnerables. Una de esas herramientas, un script de Microsoft kevin beaumont, está disponible en Github.

KrebsOnSecurity ha visto partes de una lista de víctimas compiladas mediante la ejecución de una herramienta de este tipo, y no es una imagen bonita. El shell web de puerta trasera está presente de manera verificable en las redes de miles de organizaciones estadounidenses, incluidos bancos, cooperativas de crédito, organizaciones sin fines de lucro, proveedores de telecomunicaciones, servicios públicos y unidades de policía, bomberos y rescate.

“Son departamentos de policía, hospitales, toneladas de gobiernos municipales y estatales y cooperativas de ahorro y crédito”, dijo una fuente que está trabajando de cerca con funcionarios federales en el asunto. “Casi todos los que ejecutan Outlook Web Access autohospedado y no fueron parcheados hasta hace unos días se vieron afectados por un ataque de día cero”.

Otro experto en seguridad cibernética del gobierno que participó en una llamada reciente con múltiples partes interesadas afectadas por esta ola de piratería teme que el esfuerzo de limpieza requerido sea hercúleo.

“En la llamada, muchas preguntas eran de distritos escolares o gobiernos locales que necesitan ayuda”, dijo la fuente, que habló con la condición de no ser identificada por su nombre. “Si estos números son decenas de miles, ¿cómo se hace la respuesta a incidentes? Simplemente no hay suficientes equipos de respuesta a incidentes para hacer eso rápidamente”.

Cuando lanzó parches para las cuatro fallas de Exchange Server el martes, Microsoft enfatizó que la vulnerabilidad no afectaba a los clientes que ejecutaban su servicio Exchange Online (correo electrónico alojado en la nube de Microsoft para empresas). Pero las fuentes dicen que la gran mayoría de las organizaciones víctimas hasta ahora están ejecutando algún tipo de sistema de correo electrónico Microsoft Outlook Web Access (OWA) orientado a Internet junto con los servidores de Exchange internamente.

“Es una pregunta que vale la pena hacer, ¿cuál será la recomendación de Microsoft?”, dijo el experto en seguridad cibernética del gobierno. “Dirán ‘Patch, pero es mejor ir a la nube’. Pero, ¿cómo protegen sus productos fuera de la nube? Dejándolos marchitarse en la vid.”

El experto en seguridad cibernética del gobierno dijo que esta ronda más reciente de ataques no es característica de los tipos de piratería a nivel de estado-nación típicamente atribuidos a China, que tiende a centrarse bastante en comprometer objetivos estratégicos específicos.

“Es imprudente”, dijo la fuente. “Parece fuera de lugar que los actores estatales chinos sean tan indiscriminados”.

Microsoft ha dicho que las incursiones de Hafnium en servidores Exchange vulnerables no están conectadas de ninguna manera con los ataques separados relacionados con SolarWinds, en los que un presunto grupo de inteligencia ruso instaló puertas traseras en el software de gestión de red utilizado por más de 18.000 organizaciones.

“Seguimos sin ver evidencia de que el actor detrás de SolarWinds haya descubierto o explotado alguna vulnerabilidad en los productos y servicios de Microsoft”, dijo la compañía.

Sin embargo, los eventos de los últimos días pueden terminar eclipsando con creces el daño causado por los intrusos de SolarWinds.

Esta es una historia que avanza rápidamente y probablemente se actualizará varias veces a lo largo del día. Manténganse al tanto.

Actualización, 8:27 p. m. ET: cableado reportero de ciberseguridad Andy Greenberg ha confirmado haber oído el mismo número de víctimas citadas en este informe: “Es enorme. Absolutamente enorme”, dijo a WIRED un exfuncionario de seguridad nacional con conocimiento de la investigación. “Estamos hablando de miles de servidores comprometidos por hora, a nivel mundial”. Lea la cuenta de Greenberg aquí.

Asimismo, el primer y ex director de CISA, cris krebs (sin relación) parece ser sugiriendo en Twitter que los números de víctimas citados aquí son conservadores (o simplemente ya están desactualizados):

1671303087 320 Al menos 30000 organizaciones de EE UU recientemente pirateadas a

Actualización 8:49 p. m. ET: Incluyó un enlace a una de las herramientas más recomendadas para encontrar sistemas vulnerables a este ataque.

Actualización, 10:17 p. m. ET: Se agregó una mención de la historia de Reuters, que decía que los funcionarios de la Casa Blanca están preocupados por “una gran cantidad de víctimas”.

Actualización, 6 de marzo, 10:56 am ET: CISA Cuenta de Twitter dice que la agencia “está al tanto de la explotación generalizada nacional e internacional de las vulnerabilidades de Microsoft Exchange Server e insta a escanear los registros de Exchange Server con Herramienta de detección de Microsoft para ayudar a determinar el compromiso”.

1671303087 495 Al menos 30000 organizaciones de EE UU recientemente pirateadas a

Un tweet de hoy de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Otras lecturas:

Una línea de tiempo básica del Exchange Mass-Hack

Advertencia al mundo de una bomba de relojería

Deja un comentario