Como era de esperarse, los cibercriminales están apuntando a las instancias de Microsoft Exchange sin parches a raíz de las fallas reveladas recientemente, según los informes.
Phillip Misner, gerente de programas de seguridad de Microsoft, tuiteó que una nueva familia de Ransomware está aprovechando las últimas vulnerabilidades de Exchange reveladas.
“Microsoft observó una nueva familia de clientes de ataques de ransomware operados por humanos, detectados como Ransom: Win32 / DoejoCrypt.A. Los ataques de ransomware operados por humanos están utilizando las vulnerabilidades de Microsoft Exchange para explotar a los clientes ”, escribió Misner.
La cuenta de inteligencia de seguridad de Microsoft también tuiteó: "Hemos detectado y ahora estamos bloqueando una nueva familia de ransomware que se está utilizando después de un compromiso inicial de los servidores Exchange locales sin parches".
Denominada DearCry, la nueva cepa de ransomware ha afectado a los servidores Exchange de Estados Unidos, Canadá y Australia.
Un análisis realizado por una organización holandesa sin fines de lucro revela que 46,000 de un total de 250,000 servidores Exchange aún estaban sin parchear y expuestos a ataques, hasta el pasado 9 de marzo, según el informe de Catalin Cimpanu para The Record.
A raíz de los ataques reportados, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y el FBI publicaron esta semana un aviso conjunto instando a las organizaciones a tomar medidas para mitigar las vulnerabilidades recientes.
La medida sigue al lanzamiento de una prueba de concepto (PoC) para explotar dichos defectos.
Microsoft eliminó el PoC de GitHub, para consternación de algunos investigadores, argumentando que podría facilitar los ataques en curso.
"Entendemos que la publicación y distribución de código de explotación de prueba de concepto tiene un valor educativo y de investigación para la comunidad de seguridad, y nuestro objetivo es equilibrar ese beneficio con mantener seguro el ecosistema en general", dijo un portavoz en un intercambio de correo electrónico con Vice reporteros. . "De acuerdo con nuestras Políticas de uso aceptable, deshabilitamos la esencia después de los informes de que contiene un código de prueba de concepto para una vulnerabilidad recientemente revelada que se está explotando activamente".
CISA recomienda que las organizaciones examinen sus sistemas en busca de tácticas, técnicas y procedimientos que documenten las fallas, y utilicen los indicadores de compromiso establecidos en su último aviso para detectar cualquier actividad maliciosa.
FUENTE: Hot For Security - Bitdefender