Rara vez las campañas de ciberespionaje aparecen con la escala de la situación actual que afecta a Microsoft Exchange Server. Cuatro vulnerabilidades han sido utilizadas por un grupo de amenazas ligado a China, según Microsoft.
Autor: Trend Micro
Se considera que al menos 30.000 organizaciones han sido atacadas en Estados Unidos, pero el número podría ser mucho más grande de forma global €” dándole a los hackers control remoto sobre los sistemas de las víctimas. En nuestra revisión más reciente de Shodan, aún existen alrededor de 63.000 servidores expuestos que son vulnerables a estos exploits.
Aplicar los parches disponibles debe ser una prioridad absoluta, o desconectar cualquier servidor vulnerable que pueda estar ejecutando si no puede parchear inmediatamente. En este momento, cualquiera que tenga un servidor Exchange debe tomar medidas de investigación para comprobar si hay señales de compromiso.
Respaldamos por completo las recomendaciones dadas por Microsoft y otros fabricantes. Además, los clientes actuales de XDR pueden utilizar las búsquedas predeterminadas en Trend Micro Vision One para buscar indicios del ataque en su entorno. Estas búsquedas pueden encontrarse en este artículo de nuestra Base de Conocimientos, junto con detalles sobre las detecciones y protecciones adicionales que los clientes pueden aprovechar en todas sus soluciones de seguridad.
¿Qué ocurrió?
Los ataques se remontan al 6 de enero de 2021, cuando un nuevo grupo de amenazas, posteriormente etiquetado como "Hafnium" por Microsoft, comenzó a explotar cuatro fallos zero-day en Microsoft Exchange Server. El grupo está utilizando servidores privados virtuales (VPS) ubicados en Estados Unidos para intentar ocultar su verdadera ubicación. Microsoft emitió parches de emergencia fuera de banda la semana pasada, diciendo en ese momento:
"En los ataques observados, el actor de la amenaza utilizó estas vulnerabilidades para acceder a los servidores Exchange locales, lo que permitió el acceso a las cuentas de correo electrónico y la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de las víctimas€.
Si se encadenan, las vulnerabilidades podrían ser explotadas para permitir a los atacantes autenticarse como el servidor Exchange, ejecutar código como System y escribir un archivo en cualquier ruta del servidor. Después de explotar los cuatro fallos, se dice que Hafnium despliega web shells que permiten al grupo robar datos y realizar acciones maliciosas adicionales para comprometer aún más sus objetivos. Esto podría incluir el despliegue de ransomware a las organizaciones víctimas.
Tanto la Casa Blanca como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) están muy preocupados por las consecuencias de largo alcance de la campaña. La CISA ha ordenado a las agencias gubernamentales que apliquen parches ahora o desconecten sus servidores Exchange locales.
También existe una posible conexión con la investigación del web shell Chopper ASPX que publicamos en enero de 2021. Trend Micro Research está analizando más a fondo cómo las campañas pueden estar relacionadas, y si se deben esperar campañas relacionadas adicionales.
¿Estoy afectado?
La evaluación inicial de Microsoft declara que Hafnium se ha dirigido a organizaciones en sectores como el legal, educación superior, defensa, investigación de enfermedades infecciosas, ONGs y comités de expertos. Sin embargo, hay razón para pensar que la última oleada de ataques pudo haber sido el trabajo de otros agentes maliciosos. Sea cual sea la fuente, el ex jefe de la CISA Chris Krebs advierte que las pymes, las organizaciones del sector educativo y los gobiernos estatales y locales pueden verse afectados desproporcionalmente ya que éstos a menudo tienen menos recursos para invertir en seguridad.
Si usted ejecuta servidores on-premise de Exchange, así es como puede revisar si se ha visto afectado:
- Escanee sus logs de Exchange Server con la herramienta de detección de Microsoft para revisar si se le ha comprometido
- Realice un barrido manual con Trend Micro Vision One para detectar los Indicadores de Compromiso (IoCs) conocidos asociados con esta campaña.
¿Qué es lo que sigue?
Si ha realizado un escaneo, descubrió que su ambiente aún no ha sido comprometido y aún no ha parchado, aplique los parches liberados por Microsoft tan pronto sea posible.
Si realiza el escaneo utilizando la herramienta de Microsoft y detecta evidencia de que un atacante pudo haber explotado estas vulnerabilidades en su ambiente, debe entrar a la modalidad de respuesta a incidentes.
Pero el enfoque que adopte puede depender de sus recursos internos y de la situación. Estos son nuestros consejos para las pymes y grandes organizaciones.
- Si no cuenta con un equipo de seguridad in-house, contacte a su proveedor de seguridad o MSP para que le brinden apoyo
- Si cuenta con un equipo in-house de respuesta a incidentes, ellos se encargarán de identificar los siguientes pasos
- No vuelva a respaldar ninguna máquina hasta que un escaneo forense ha declarado que ya no cuenta con ningún IoC
- Contacte a su equipo legal para comentar los requerimientos de las notificaciones de brecha
Para más información sobre las detecciones y protecciones adicionales específicas para esta campaña que ofrece Trend Micro, por favor Revise este artículo de nuestra Base de Conocimientos, el cual se actualizará conforme vaya evolucionando la situación: https://success.trendmicro.com/solution/000285882.