Servidores de Microsoft Exchange atacados por el ransomware DearCry que abusa de los errores de ProxyLogon
La semana pasada, Microsoft informó que los atacantes comprometieron los servidores de correo de Exchange con el uso de cuatro vulnerabilidades de día cero. Si bien Microsoft ha publicado parches, los adversarios siguen atacando las versiones vulnerables de los servidores Microsoft Exchange con herramientas maliciosas, malware y exfiltración de datos.
En el dia de hoy, Microsoft ha confirmado la existencia de una variante de ransomware que aprovecha estas vulnerabilidades, que se ha denominado “DearCry”. Es razonable sospechar que los autores de ransomware estaban rindiendo homenaje a una familia de ransomware no relacionada pero infame, “WannaCry”, que se utilizó como carga útil dentro de una campaña de ataque orquestada que aprovechó las vulnerabilidades conocidas de Microsoft para infectar a las víctimas en masa.
Una vez que un servidor ha sido atacado y sus datos cifrados, los archivos en el servidor tienen una extensión de archivo .CRYPT adicional agregada al final y la nota de rescate: “readme.txt”
Los ataques son de pequeña escala, no se detectaron nuevas víctimas recientemente y se han observado víctimas en Austria, Australia, Canadá, Dinamarca y Estados Unidos, hasta el momento… de hecho, la mayoría de las víctimas son pequeñas empresas que se les solicita un pago por los rescates que varían entre $ 50,000 y $ 110,000.
Los ataques se producen cuando los expertos en seguridad advirtieron a los propietarios de servidores Exchange durante la semana pasada que parcheen rápidamente sus sistemas, ya que se esperaba que las bandas de ransomware comenzaran a atacar sus sistemas una vez que tuvieran en sus manos un exploit ProxyLogon en pleno funcionamiento.
Fuente: InfoSpyware
