Sólo cinco minutos tardaron unos ciberdelincuentes en escanear posibles objetivos tras anunciarse la vulnerabilidad de Exchange Server

Sólo cinco minutos tardaron unos ciberdelincuentes en escanear posibles objetivos tras anunciarse la vulnerabilidad de Exchange Server
1 comentario Facebook Twitter Flipboard E-mail

Apenas cinco minutos después de que Microsoft hiciera público el pasado mes de marzo un problema de seguridad entre sus sistema Exchange Server, un informe ha podido comprobar que un nutrido grupo de ciberdelincuentes consiguieron "escanear" la situación para llegar a conocer posibles objetivos.

El informe “2021 Cortex Xpanse Attack Surface Threat Report” de Palo Alto Networks, analizó diversas amenazas entre enero y marzo de este año y así pudo comprobar el gran interés que levantó entre los ciberdelincuentes el error de la firma de Redmond.

Hay que recordar que en marzo se hizo público un ataque a Microsoft Exchange Server. Según las informaciones, un grupo de hackers de China, Hafnium, estaba atacando servidores en diferentes países del mundo a través de este software de la marca de Redmond. Afecta a Exchange Server entre sus versiones 2013 a 2019. Unos días después, Microsoft lanzó públicamente el parche.

El interés en las vulnerabilidades en software ampliamente adoptado

windows server

Según los investigadores de Palo Alto, cuando se hacen públicas vulnerabilidades críticas de un software ampliamente adoptado, se puede desencadenar una carrera entre atacantes y administradores de TI. Los primeros para encontrar objetivos adecuados, "especialmente cuando el código de prueba de concepto (PoC) está disponible o el error parece fácil de explotar". Y, por su parte, y el personal de TI para realizar evaluaciones de riesgo e implementar los parches necesarios.

El informe señala que, en particular, cuando hablamos de vulnerabilidades de día cero o zero-day se registra de media que tan solo 15 minutos después de conocerse el problema, hay atacantes que ya cuentan con un escaneo general de cómo está la situación.

Sin embargo, los investigadores de Palo Alto afirman que los atacantes "trabajaron más rápido" al tratarse de Microsoft Exchange, y los escaneos se lograron en apenas cinco minutos.

Un ataque que sigue dando que hablar

lEMON DUCK

En marzo Microsoft alertó de que hackers de China aprovecharon un fallo en su sistema Exchange Server, destinado a empresas, para poder acceder a sus mails, a listas de contactos y que también pudieron instalar malware.

Según informaciones aportadas por Microsoft, Hafnium se dirige principalmente a entidades de Estados Unidos (pero también de otros países) con el fin de acceder a información de diversos sectores industriales, como investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de enseñanza superior, contratistas de defensa, grupos de reflexión política y ONG.

Aunque Hafnium tiene su sede en China, lleva a cabo sus operaciones principalmente desde servidores virtuales privados (VPS) alquilados en Estados Unidos. Hace unos días, Cisco Talos descubrió que hay un ataque que podría estar aprovechándose de las debilidades de Windows Exchange Server desde el pasado mes de abril.

Lemon Duck, que es un botnet que ya había sido descubierto en el mes de marzo aprovechándose de servidores vulnerables y utilizando estos sistemas para minar criptomonedas (técnica conocida también como cryptojacking).

Comentarios cerrados
Inicio