CCCS: DearCry Ransomware 'aprovechado' para explotar las vulnerabilidades de Microsoft Exchange

Las redes informáticas canadienses se vieron gravemente afectadas cuando el servicio de correo electrónico Exchange de Microsoft fue pirateado a principios de este mes, según el Centro Canadiense de Seguridad Cibernética (CCCS).

El sitio web de la agencia también indicó que una nueva variante de ransomware, conocida como DearCry, está siendo "aprovechada por actores que explotan las vulnerabilidades de Exchange recientemente reveladas".

"Estas vulnerabilidades se están aprovechando para hacerse un hueco dentro de la red de una organización para la actividad maliciosa que incluye, entre otros, ransomware y la exfiltración de datos", se lee en la actualización.

El hackeo inicial fue anunciado por el vicepresidente corporativo de Microsoft, Tom Burt, en una publicación de blog de principios de este mes, ya que Burt había expresado que la compañía descubrió importantes vulnerabilidades en su software Exchange. Microsoft acreditó al grupo chino Hafnuim como el grupo de piratería responsable del ataque.

Aunque Hafnuim puede tener su sede en China, Burt dice que "realiza sus operaciones principalmente desde servidores privados virtuales (VPS) alquilados en los Estados Unidos".

En respuesta al ataque, Microsoft lanzó varios "parches" de actualización de seguridad para varias versiones de Exchange, incluidas versiones más antiguas y desactualizadas.

En este momento, Microsoft recomienda encarecidamente a los clientes de Exchange Server que apliquen las actualizaciones recién publicadas de inmediato. Según la publicación del blog, "Exchange Server es utilizado principalmente por clientes comerciales, y no tenemos evidencia de que las actividades de Hafnium estén dirigidas a consumidores individuales o que estas vulnerabilidades afecten a otros productos de Microsoft".

Más de 20.000 organizaciones estadounidenses afectadas por el hack de Microsoft Exchange

En Estados Unidos, en una conferencia de prensa el 5 de marzo, la secretaria de prensa de la Casa Blanca, Jen Psaki, afirmó que el ataque podría tener "impactos de gran alcance".

"Nos preocupa que haya una gran cantidad de víctimas y estamos trabajando con nuestros socios para comprender el alcance de esto, por lo que es un proceso en curso", dijo Psaki a los periodistas.

Pero incluso en las primeras etapas de ese proceso, un miembro del gobierno de EE. UU. Pudo comunicar a Reuters que más de 20,000 organizaciones estadounidenses se han visto comprometidas en la violación.

En Twitter, la semana pasada, el ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), Christopher Krebs, calificó la brecha como un "enorme hackeo loco".

This is a crazy huge hack. The numbers I've heard dwarf what's reported here & by my brother from another mother (@briankrebs). Why, though? Is this a flex in the early days of the Biden admin to test their resolve? Is it an out of control cybercrime gang? Contractors gone wild? pic.twitter.com/cA4lkS4stg

— Chris Krebs (@C_C_Krebs) March 6, 2021

Krebs también hizo hincapié en decir que cualquier persona que piense que puede haber sido afectada debe aplicar un parche "si aún no lo ha hecho".