Bitcoin se solicita en una nota de rescate estilizada a cambio de datos robados.

Los servidores de Microsoft Exchange que se vieron comprometidos en una primera ronda de ataques son infectados por segunda vez por una banda de ransomware que intenta aprovechar una variedad de exploits que han atacado a empresas de todo el mundo.

El ransomware, conocido como Black Kingdom, DEMON y DemonWare, cobra $ 10,000 para restaurar datos encriptados, según investigadores de seguridad. El malware se instala en servidores de Exchange que previamente han sido infectados por atacantes que explotaron una vulnerabilidad crítica en el programa de correo electrónico de Microsoft. Los ataques comenzaron cuando la vulnerabilidad aún era de cero días. Incluso después de que Microsoft lanzó un parche de emergencia, se infectaron hasta 100.000 servidores que no lo instalaron a tiempo.

La oportunidad toca a tu puerta

Los piratas informáticos detrás de estos ataques instalaron un shell web que le dio a cualquiera que conociera la URL control total sobre los servidores comprometidos. Black Kingdom fue descubierto la semana pasada por la firma de seguridad SpearTip. Marcus Hutchins, investigador de seguridad de la firma de seguridad Kryptos Logic, informó el domingo que el malware en realidad no cifró archivos.

El martes por la mañana, el analista de inteligencia de amenazas de Microsoft Kevin Beaumont informó que un ataque del Reino Negro «realmente funciona Cifrar archivos.

La firma de seguridad Arete también anunció ataques del Reino Negro el lunes.

Black Kingdom fue descubierto por la empresa de seguridad RedTeam en junio pasado. El ransomware atacó servidores que no resolvieron una vulnerabilidad crítica en el software Pulse VPN. Black Kingdom también actuó a principios del año pasado.

Brett Callow, analista de seguridad de Emsisoft, dijo que no estaba claro por qué uno de los recientes ataques de Black Kingdom no logró cifrar los datos.

«La versión original encriptaba los archivos, mientras que una versión posterior simplemente los renombraba», escribió en un correo electrónico. “No está claro si ambas versiones funcionarán al mismo tiempo. Tampoco está claro por qué cambiaron su código, tal vez porque el proceso de cambio de nombre (cifrado falso) no es reconocido o bloqueado por los productos de seguridad. «

Añadió que una versión del ransomware utiliza un método de cifrado que, en muchos casos, permite recuperar los datos sin pagar un rescate. Pidió que el método no se describiera en detalle para evitar que los operadores de ransomware corrigieran el error.

Parchar no es suficiente

Ni Arete ni Beaumont dijeron si los ataques de Black Kingdom afectaron a servidores que aún no tenían instalado el parche de emergencia de Microsoft, o si los atacantes simplemente se están apoderando de shells web mal asegurados que fueron previamente instalados por otro grupo.

Hace dos semanas, Microsoft informó que una cepa separada de ransomware llamada DearCry estaba incautando servidores que habían sido infectados por Hafnium. Hafnium es el nombre que la compañía le dio a los piratas informáticos patrocinados por el gobierno en China que fueron los primeros en usar ProxyLogon. Este nombre se le ha dado a una cadena de exploits que toman el control total de los servidores Exchange vulnerables.

Sin embargo, la firma de seguridad SpearTip dijo que el ransomware apuntó a los servidores «después de que se explotaran por primera vez las vulnerabilidades disponibles de Microsoft Exchange». El grupo que instala el ransomware de la competencia DearCry también se ha sumado.

Según Politico, que citó a un portavoz del Consejo de Seguridad Nacional, la cantidad de servidores vulnerables en los EE. UU. Se ha reducido a menos de 10,000. Había aproximadamente 120.000 sistemas vulnerables a principios de este mes.

Como señalan los posteriores ataques de ransomware, la aplicación de parches a los servidores no es ni mucho menos una solución completa a la actual crisis de los servidores de Exchange. Incluso si los servidores reciben las actualizaciones de seguridad, aún pueden infectarse con ransomware si los shells web todavía están en su lugar.

Microsoft insta a las organizaciones afectadas que no cuentan con personal de seguridad experimentado a ejecutar este script de mitigación con un solo clic.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí