El malware Purple Fox contra sistemas Windows registra un crecimiento del 600%

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Anatomía del ataque a una cuenta privilegiada Leer

El pasado mes de marzo, unos analistas de ciberseguridad informaron de una reciente campaña de malware a través de phishing de la que se muestran muy preocupados. Descubierto por vez primera en 2018, Purple Fox se está propagando con mucha rapidez en las últimas semanas, hasta el punto de que los sistemas infectados superan los 90.000 y los servidores han llegado a los 2.000, con un crecimiento del 600%.

Purple Fox se distribuía anteriormente a través de kits de explotación y utilizaba el correo electrónico como vector de ataque. Sin embargo, ha agregado un módulo que le permite escanear e infectar sistemas basados en Windows y ahora también utiliza técnicas de fuerza bruta en servidores que tengan contraseñas y hashes que no sean especialmente fuertes. Para ello, se sirve también de vulnerabilidades que se encuentran en versiones antiguas de Windows Server, en concreto, con la versión 7.5 de Internet Information Services (IIS) y servidores que ejecutan Microsoft RPC, Microsoft Server SQL Server 2008 R2, Microsoft HTTPAPI httpd 2.0 y Microsoft Terminal Service.

Una vez infectado el sistema, el malware cierra los puertos del Firewall del sistema infectado y comienza a escanear en busca de otros sistemas conectados vulnerables y con contraseñas débiles. De esta manera, pasan a formar parte de una botnet operada por los ciberatacantes que después pueden utilizar para otros propósitos: como infectar aún más sistemas o realizar ataques DDoS usando los miles de infectados contra sistemas de organizaciones que tengan como objetivo, ya sea por cuestiones económicas o de otro tipo.

Los analistas de ciberseguridad advirtieron que varios de los servidores infectados por PurpleFox pertenecen a pymes que tenían contraseñas débiles y que no contaban con suficientes medidas de protección y con sistemas actualizados. Sin embargo, también se han visto afectadas organizaciones de mayor magnitud, que no cuentan con una política de contraseñas adecuada. Como señala Cytomic, es un error más común de lo que parece, solo hay que recordar el ataque a Equifax, que expuso los datos de 147 millones de personas, debido a unas credenciales del servidor que consistían en algo tan simple como el término “admin”.

En cualquier caso, tener contraseñas fuertes no es suficiente por sí sólo y las organizaciones también deben contar con herramientas de ciberseguridad avanzadas que les permitan gestionar con facilidad sus parches, tanto en sus servidores de Windows, como en sus sistemas operativos y aplicaciones de terceros en sus puestos de trabajo. Además, los equipos de IT y los SOC también podrán acceder a los códigos de los exploits y a un registro de las vulnerabilidades críticas y recientes. De esta manera, las organizaciones podrán reducir la superficie de ataque e impedir que las amenazas como PurpleFox lleguen al endpoint.