Una decena de grupos APT están explotando las vulnerabilidades de Exchange

Recomendados:  Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar

A principios de este mes, Microsoft lanzó un conjunto de parches para Exchange Server que servían para resolver una serie de vulnerabilidades que permitirían la ejecución de código remoto y tomar el control del servidor de correo, por lo que los servidores de Exchange conectados a Internet se convirtieron en especialmente vulnerables. Pues bien, contrariamente a lo que se creía, la amenaza no se reduce al grupo Hafnium, ya que ESET ha descubierto más de una decena de grupos APT explotando las vulnerabilidades de Microsoft Exchange, y que han comprometido a alrededor de 5.000 servidores de correo repartidos por todo el mundo.

“El día después de publicar los parches, comenzamos a observar a varios grupos de delincuentes escanear y comprometer de forma masiva servidores Exchange. Curiosamente, todos estos ataques estaban siendo llevados a cabo por grupos APT especializados en espionaje, excepto uno que suele realizar campañas de minería de criptomonedas. Sin embargo, es inevitable pensar que cada vez se unan a los ataques más grupos, incluyendo operadores de ransomware”, advierte Matthieu Faou, investigador de ESET que está liderando el análisis de esta cadena de vulnerabilidades contra Exchange.

La telemetría de ESET descubrió la presencia de webshells (programas maliciosos o scripts que permiten el control remoto de un servidor desde un navegador) en alrededor de 5.000 servidores en más de 115 países y que estarían siendo utilizadas por más de diez grupos APT. Los grupos identificados hasta ahora son LuckyMouse, Calypso, Tick, Websiic, Winnti Group, Tonto Team, ShadowPad, Opera Cobalt Strike, IIS, Mikroceen y DLTMiner. Algunos grupos APT estaban explotando las vulnerabilidades incluso antes de que se publicaran los parches, cuando se trataba aún de un zero-day, lo que descarta la posibilidad de que esos grupos hayan preparado los exploits aplicando ingeniería inversa a las actualizaciones de Microsoft.

“La recomendación más clara que podemos hacer es que se instalen los parches de Exchange lo antes posible. Incluso para aquellos que no estén conectados a Internet. En caso de compromiso, los administradores de red deberían eliminar las webshells, modificar las credenciales e investigar cualquier actividad sospechosa adicional. El incidente nos recuerda que las aplicaciones más críticas, como Exchange o SharePoint no deben quedar expuestas en Internet”, concluye Faou.