211service.com
Cuatro nuevos grupos de piratería se han unido a una ofensiva en curso contra los servidores de correo electrónico de Microsoft
Foto de Matthew Manuel en Unsplash
Una campaña de piratería vinculada al gobierno chino revelada por Microsoft esta semana se ha intensificado rápidamente. Al menos otros cuatro grupos distintos de hackers ahora están atacando fallas críticas en el software de correo electrónico de Microsoft en una campaña cibernética que el gobierno de EE. UU. describe como una explotación nacional e internacional generalizada con un impacto potencial en cientos de miles de víctimas en todo el mundo.
A partir de enero de 2021, los piratas informáticos chinos conocidos como Hafnium comenzaron a explotar vulnerabilidades en los servidores de Microsoft Exchange. Pero dado que la empresa públicamente revelado A la campaña del martes, se unieron cuatro grupos más, y los piratas informáticos chinos originales abandonaron la pretensión de sigilo y aumentaron la cantidad de ataques que están llevando a cabo. La creciente lista de víctimas incluye decenas de miles de empresas y oficinas gubernamentales de EE. UU. a las que apuntan los nuevos grupos.
Hay al menos cinco grupos diferentes de actividad que parecen estar explotando las vulnerabilidades, dice Katie Nickels, quien dirige un equipo de inteligencia en la firma de seguridad cibernética Red Canary que está investigando los ataques. Al rastrear las ciberamenazas, los analistas de inteligencia agrupan grupos de actividad de piratería según las técnicas, tácticas, procedimientos, máquinas, personas y otras características específicas que observan. Es una forma de rastrear las amenazas de piratería a las que se enfrentan.
Hafnium es un sofisticado grupo chino de hackers que lleva tiempo realizando campañas de ciberespionaje contra Estados Unidos, según Microsoft. Son un depredador ápice, exactamente el tipo que siempre es seguido de cerca por carroñeros oportunistas e inteligentes.
La actividad rápidamente se aceleró una vez que Microsoft hizo su anuncio el martes. Pero aún no está claro quiénes son exactamente estos grupos de piratas informáticos, qué quieren y cómo acceden a estos servidores. Es posible que el grupo original de Hafnium vendiera o compartiera su código de explotación o que otros piratas informáticos aplicaran ingeniería inversa a las vulnerabilidades en función de las correcciones que lanzó Microsoft, explica Nickels.
El desafío es que todo esto es muy turbio y hay mucha superposición, dice Nickels. Lo que hemos visto es que desde que Microsoft publicó sobre Hafnium, se expandió más allá de Hafnium. Hemos visto actividad que se ve diferente de las tácticas, técnicas y procedimientos de lo que informaron.
Al explotar las vulnerabilidades en los servidores de Microsoft Exchange, que las organizaciones usan para operar sus propios servicios de correo electrónico, los piratas informáticos pueden crear un shell web, una herramienta de piratería accesible de forma remota que permite fácilmente el acceso y el control de la máquina infectada por la puerta trasera, que les permite controlar el servidor comprometido a través de Internet y luego girar para robar datos de toda la red de su objetivo. El shell web significa que a pesar de que Microsoft ha publicado correcciones para las fallas, que solo el 10% de los clientes de Exchange habían aplicado hasta el viernes, según la compañía, el adversario aún tiene acceso por la puerta trasera a sus objetivos.
Aplicar las correcciones de software de Microsoft es un primer paso crucial, pero el esfuerzo total de limpieza será mucho más complicado para muchas víctimas potenciales, especialmente cuando los piratas informáticos se mueven libremente a otros sistemas en la red.
Estamos trabajando en estrecha colaboración con CISA [la Agencia de Seguridad de Infraestructura y Ciberseguridad], otras agencias gubernamentales y empresas de seguridad, para garantizar que brindamos la mejor orientación y mitigación posibles para nuestros clientes, dice un portavoz de Microsoft. La mejor protección es aplicar actualizaciones lo antes posible en todos los sistemas afectados. Continuamos ayudando a los clientes al proporcionar orientación adicional sobre investigación y mitigación. Los clientes afectados deben comunicarse con nuestros equipos de soporte para obtener ayuda y recursos adicionales.
Ahora que varios grupos atacan las vulnerabilidades, se espera que los ataques afecten de manera desproporcionada a las organizaciones que menos pueden permitirse defenderse de ellos, como las pequeñas empresas, las escuelas y los gobiernos locales. dicho Chris Krebs, exfuncionario de ciberseguridad de EE. UU.
¿Por qué sin embargo? Krebs pedido en Twitter. ¿Es esto una flexión en los primeros días del administrador de Biden para probar su determinación? ¿Es una pandilla de cibercrimen fuera de control? ¿Los contratistas se han vuelto locos?
Historia relacionada
Recuperarse del hackeo de SolarWinds podría llevar 18 meses El jefe de la agencia que lidera los esfuerzos de EE. UU. para reparar un ataque de piratería ruso dice que la reconstrucción llevará mucho tiempo.
Con potencialmente cientos de miles de víctimas en todo el mundo, esta campaña de piratería de Exchange ha afectado a más objetivos que el pirateo de SolarWinds que el gobierno de EE. UU. está actualmente luchando limpiar. Pero, al igual que con el hackeo de SolarWinds, los números no lo son todo: los piratas informáticos rusos detrás de SolarWinds fueron muy disciplinados y persiguieron objetivos específicos de alto valor a pesar de que tenían acceso potencial a muchos miles.
Lo mismo es verdad aquí. Incluso si los números totales son alarmantes, no todos los compromisos son catastróficos.
Todos estos no son iguales, dice Nickels. Hay servidores Exchange vulnerables donde la puerta está abierta pero no sabemos si algún adversario la ha atravesado. Hay servidores ligeramente comprometidos; tal vez se cae un shell web, pero nada más allá de eso. Luego está el otro extremo del espectro, donde los adversarios tuvieron actividad de seguimiento y se trasladaron a otros sistemas.
Es raro que la Casa Blanca comente sobre problemas de seguridad cibernética, pero la administración de Biden ha tenido motivos para hablar mucho sobre la piratería en sus primeros dos meses en el cargo, entre el ataque a SolarWinds y este último incidente.
Nos preocupa que haya una gran cantidad de víctimas y estamos trabajando con nuestros socios para comprender el alcance de esto, dijo la secretaria de prensa de la Casa Blanca, Jen Psaki, durante una conferencia de prensa el viernes por la tarde. Los propietarios de la red también deben considerar si ya se han visto comprometidos y deben tomar las medidas adecuadas de inmediato.