Guía gratuita
16 preguntas que DEBE hacer antes de contratar cualquier empresa de TI
Los servidores Exchange son el objetivo de este nuevo ransomware
Recientemente ha irrumpido en escena una nueva banda de ransomware conocida como “LockFile”. Se dirigen específicamente a los servidores de Microsoft Exchange para obtener acceso y luego procede a cifrar todo lo que pueden encontrar.
LockFile emplea un trío de vulnerabilidades que se conocen colectivamente como ProxyShell para obtener acceso a un servidor de intercambio específico.
ProxyShell recibió su nombre de Orange Tsai. Tsai es el investigador principal de seguridad de Devcore que inicialmente los encadenó para crear el ataque. Los tres problemas se conocían anteriormente, pero fue Tsai quien primero pensó en encadenarlos para crear un nuevo vector de ataque.
Se realiza un seguimiento de los problemas por separado de la siguiente manera:
- CVE-2021-34473 – La confusión de ruta previa a la autenticación conduce a la derivación de ACL (parcheado en abril por KB5001779)
- CVE-2021-34523: Elevación de privilegios en el backend de Exchange PowerShell (parcheado en abril por KB5001779)
- CVE-2021-31207 – Post-auth Arbitrary-File-Write conduce a RCE (parcheado en mayo por KB5003435)
Todos estos problemas ya se han corregido según las notas anteriores, pero, por supuesto, no hay garantía de que estén corregidos en su red. Su personal de TI puede o no haber aplicado los parches mencionados anteriormente. De lo contrario, su red está en riesgo.
También debe tenerse en cuenta que los piratas informáticos están buscando activamente servidores de Exchange vulnerables a los ataques de ProxyShell. Entonces, si su red está en riesgo, entonces es solo cuestión de tiempo hasta que LockFile lo encuentre.
Marque este artículo como referencia y haga que su personal de TI vuelva a verificar para asegurarse de que los parches mencionados anteriormente se hayan aplicado en su red. Si no lo han hecho, asegúrese de hacerlo lo antes posible para minimizar su riesgo.
Se sabe muy poco sobre la pandilla LockFile y sus motivaciones. Debe saberse que su ransomware es increíblemente peligroso. La falta de acción para proteger los sistemas vulnerables podría tener consecuencias trágicas.