Los servidores de Microsoft Exchange han sido pirateados por LockFile Ransomware

El grupo de piratas informáticos detrás de un nuevo ransomware llamado LockFile cifra los dominios de Windows después de usar una falla de proxyShell para comprometer los servidores de Microsoft Exchange.

ProxyShell es el nombre del ataque, que incluye una serie de tres vulnerabilidades de Microsoft Exchange. Si la operación tiene éxito, los piratas informáticos pueden ejecutar código de forma remota sin autenticación.

Las tres vulnerabilidades fueron descubiertas por investigadores de seguridad. Los unió en el hackathon Pwn2Own 2021 en abril para tomar el control de los servidores de Microsoft Exchange.

Las tres vulnerabilidades específicas se enumeran a continuación:

  1. CVE-2021-34473 (corregido en abril con la actualización KB5001779)
  2. CVE-2021-34523 (corrección de abril, actualización KB5001779)
  3. CVE-2021-31207 (Corrección de mayo, Actualización KB5003435)

A medida que Microsoft lanzó parches para las tres vulnerabilidades, se revelaron muchos detalles técnicos. Por lo tanto, tanto los investigadores de seguridad como los piratas informáticos pueden desarrollar exploits fácilmente.

Figura 1 Microsoft Exchange Server atacado por LockFile Ransomware

Entre ellos se encuentra un nuevo tipo de ransomware llamado LockFile. Las personas detrás de este ransomware están buscando activamente servidores de Microsoft Exchange defectuosos.

Al usar ProxyShell, el atacante obtendrá acceso a un servidor de Microsoft Exchange. Luego continuaron usando la vulnerabilidad PetitPotam para tomar el control del controlador del dominio y luego el dominio de Windows.

Desde aquí, distribuyen el ransomware por toda la red de la empresa u organización atacada.

LockFile es un ransomware emergente. Según la investigación de expertos, cuando LockFile consume muchos recursos del sistema, si está infectado, congelará temporalmente la computadora, lo cual es bastante molesto.

Para evitar ser pirateado, los expertos en seguridad aconsejan a los usuarios y administradores de TI de la empresa que actualicen a las últimas actualizaciones de Windows 10 de inmediato.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!