LockFile, un nuevo ransomware que explota los fallos de los servidores Exchange

  • Endpoint

Malware

El malware aprovecha las vulnerabilidades ProxyShell y PetitPotam, que permiten controlar los servidores de correo. Aunque dichas vulnerabilidades ya cuentan con su parche correspondiente, se calcula que unos 30.000 servidores Exchange siguen siendo vulnerables a estos ataques.

Todos los meses se detectan y parchean decenas de vulnerabilidades, que los delincuentes tardan poco tiempo en aprovechar. Es el caso de ProxyShell, una recopilación de tres agujeros de seguridad que permiten a un atacante controlar servidores de correo Microsoft Exchange, los cuales ya cuentan con su parche correspondiente desde hace algunos meses, lo que no significa que los responsables de gestionar la seguridad de los sistemas afectados hayan aplicado estos parches. De hecho, se calcula que alrededor de 30.000 servidores Exchange siguen siendo vulnerables a estos ataques, según ha desvelado recientemente ISC SANS.

Uno de los ejemplos más claros del aprovechamiento de estas vulnerabilidades lo encontramos en su uso para acceder a sistemas vulnerables e infectarlos con ransomware. La primera familia de ransomware que se ha descubierto aprovechando la vulnerabilidad ProxyShell se hace llamar LockFile. Según algunos investigadores, los operadores de este ransomware estarían aprovechando esta vulnerabilidad para acceder a servidores de Exchange sin parchear.

Además de ProxyShell, una vez que los delincuentes han conseguido acceder al servidor Exchange, pasan a aprovechar otra vulnerabilidad conocida como PetitPotam para hacerse con el controlador de dominio de Windows. PetitPotam es otra de las vulnerabilidades que fue publicada a finales de julio, solucionándola Microsoft en los boletines de seguridad correspondientes al mes de agosto. Su explotación facilita a los delicuentes enviar la carga maliciosa a todas y cada una de las estaciones de trabajo que estén siendo administradas desde el controlador de dominio, acelerando todo el proceso de cifrado.

La combinación de ProxyShell y PetitPotam resulta muy útil para los delincuentes a la hora de acceder a sistemas vulnerables y hacerse con su control, por lo que, hasta CISA, la agencia responsable de la ciberseguridad en los Estados Unidos, ha emitido una alerta para que se apliquen los parches correspondientes lo antes posible.