Threat Database Ransomware WickrMe ransomware

WickrMe ransomware

Se ha iniciado una nueva operación de ransomware dirigida a los servidores de Microsoft SharePoint, lo que marca la primera vez que este punto de entrada en particular se ha utilizado para infiltrarse en redes corporativas privadas y desplegar ransomware. Los objetivos anteriores de campañas similares han sido los servidores de correo electrónico de Microsoft Exchange, las puertas de enlace Citrix, los equilibradores de carga F5 BIG-IP y los productos VPN lanzados por Pulse Secure, Fortinet y Palo Alto Network.

La campaña de ataque está siendo rastreada por proveedores de seguridad como WickrMe Ransomware (Hello) debido al uso de cuentas de mensajería instantánea encriptadas de Wickr como parte de los canales de comunicación que las víctimas pueden usar para comunicarse con los ciberdelincuentes. El vector de compromiso inicial explotado por WickMe Ransomware es una vulnerabilidad conocida (CVE-2019-0604) que afecta a los servidores de colaboración del equipo de Microsoft SharePoint. El exploit permite al actor de amenazas establecer control sobre el servidor de SharePoint y entregar un shell web dañado. El siguiente paso consiste en crear una puerta trasera instalando una baliza Cobalt Strike. Luego, los piratas informáticos pueden ejecutar scripts de PowerShell automatizados que finalmente soltarán y ejecutarán la carga útil final, la amenaza Hello Ransomware, en los sistemas comprometidos.

Se advirtió a las empresas sobre el exploit

El año pasado, Microsoft publicó una publicación de blog, abordando el aumento significativo en las campañas de ataque observadas que apuntaban a las vulnerabilidades en los dispositivos de red como puertas de enlace para la entrega de amenazas de ransomware. Entre las vulnerabilidades específicas mencionadas en el artículo también se encontraba CVE-2019-0604. Microsoft insta a las empresas a parchear la colección de exploits que creían que pronto podrían ser atacados por grupos de ransomware.

El mismo error del servidor de SharePoint fue aprovechado en campañas lanzadas por ciberdelincuentes, grupos de espionaje patrocinados por el estado y APT (Amenazas persistentes avanzadas) anteriormente.

Tendencias

Mas Visto

Cargando...