Los hackers de ransomware comienzan a explotar las fallas de Microsoft Exchange Server

Se ha detectado una cepa de ransomware denominada DearCry que cifra los datos del correo electrónico en servidores Exchange sin parches y luego exige a las víctimas que paguen.

El ransomware está comenzando a explotar fallas recientemente reveladas en Microsoft Exchange Server.

La cepa de ransomware, denominada DearCry, ha sido detectada encriptando servidores de Exchange vulnerables en un esfuerzo por mantener los datos como rehenes. El jueves, Microsoft dijo que estaba detectando y bloqueando a DearCry para que no llegara a servidores sin parches.

 

El investigador de seguridad Michael Gillespie también notó los ataques de DearCry. Dirige un servicio , llamado ID Ransomware, donde las víctimas pueden enviar muestras de ransomware para ayudarles a identificar con qué cepa se han infectado.

El jueves, Gillespie tuiteó que ID Ransomware había recibido algunas presentaciones sobre el ransomware DearCry que llegaba a los servidores de Exchange con sede en los EE. UU., Canadá y Australia.

 

Una víctima de los ataques también publicó su experiencia con el ransomware en un foro de BleepingComputer.com. El hacker detrás de DearCry le pidió a la víctima que pagara $ 16,000 en bitcoins para recibir una clave para liberar los datos encriptados.

“Afortunadamente, esto era solo un servidor de correo electrónico, y tengo una copia de seguridad, pero puedo encaminarlo solo por el gusto de hacerlo”, escribió la víctima.

Andrew Thompson, gerente de la empresa de seguridad Mandiant, señala que los ataques DearCry solo pueden cifrar el servidor Exchange en sí, no el resto de la red corporativa de una empresa.

“No he visto menciones de un adversario que utilice las vulnerabilidades de Exchange Server para realizar una intrusión más profunda con el propósito de implementar ransomware ampliamente en el entorno, AÚN. Ese matiz importa al informar ”, dijo en un tuit .

De hecho, los investigadores de seguridad advierten que es posible que solo sea cuestión de tiempo antes de que más piratas informáticos de ransomware decidan explotar las vulnerabilidades.

Como actúa Ransomware DearCry

Las fallas en Microsoft Exchange pueden permitir que un atacante se apodere de un servidor de forma remota y saquee los correos electrónicos que contiene.

Eso es particularmente problemático si los correos electrónicos contienen contraseñas para otros sistemas de TI o contienen información confidencial que un pirata informático podría amenazar con filtrar.

La empresa de seguridad ESET detectó al menos 10 grupos de piratas informáticos que explotaban las fallas para infiltrarse en miles de servidores en todo el mundo. Tanto Microsoft como el gobierno de EE. UU. Están instando a los clientes afectados a instalar parches lo antes posible y verificar los servidores en busca de signos de malware.