Un ciberataque a Microsoft Exchange pone en riesgo a decenas de miles de empresas

Un potente ciberataque al software de correo electrónico de Microsoft ha puesto en alerta a cientos de miles de empresas de todo el mundo. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE UU emitió un aviso el lunes a través de Twitter urgiendo a “todas las organizaciones de todos los sectores a seguir las directrices” para evitar que los cibercriminales exploten cuatro vulnerabilidades en la aplicación Microsoft Exchange Server, que la compañía reveló hace una semana. Pero ya era tarde para muchas. La Autoridad Bancaria Europea (EBA) anunció este lunes que sus servidores de correo se habían visto comprometidos por culpa de este hackeo.

Aunque al principio se habló de que unas 30.000 organizaciones podrían haberse visto afectadas en EE UU, ahora se asegura que son casi 60.000, según Bloomberg, que cita una fuente anónima del Gobierno de EE UU. Otros cálculos llevan el número hasta las 250.000 víctimas, informa el FT.

Pese a estas abultadas cifras y a que Microsoft Exchange es un servicio ampliamente utilizado por grandes y pequeñas empresas y gobiernos, pocas organizaciones han admitido hasta ahora haber sido víctimas del ataque, y eso que los expertos en ciberseguridad aseguran que se ha producido un aluvión de ciberataques desde que Microsoft hiciera públicas las vulnerabilidades hasta que esta lanzó los parches, pues a muchas entidades no les ha dado tiempo a protegerse.

A principios de este mes, Microsoft lanzó un conjunto de parches para las versiones 2013, 2016 y 2019 de Exhange Server que servían para resolver una serie de vulnerabilidades que permitían la ejecución de código remoto. Estas vulnerabilidades, según explica la empresa europea de ciberseguridad ESET, "permiten a los atacantes tomar el control de cualquier servidor Exchange sin necesidad de conocer las credenciales de autenticación, por lo que los servidores de Exchange conectados a internet se convirtieron en especialmente vulnerables".

El gigante del software ha acusado de los ataques a un grupo de chino (Hafnium) apoyado por el Gobierno de ese país, algo que este niega. Los primeros ataques tuvieron lugar a principios de año. Sin embargo, una vez que se conoció la brecha de seguridad de Microsoft Exchange otros grupos cibercriminales de sumaron a los ataques y se espera que, tras algunas evaluaciones, vayan saliendo a la luz nuevas víctimas, entre las que estarían sobre todo pequeñas empresas (aunque también grandes) y organismos públicos. Según el FT, la empresa de ciberseguridad Huntress, especializada en pymes, ha identificado ya más de 350 víctimas entre sus clientes, entre ellos pequeños hoteles, un fabricante de electrodomésticos, algún banco, compañías eléctricas y numerosas comunidades de vecinos.

ESET ha señalado este jueves que ha descubierto más de una decena de grupos APT explotando las vulnerabilidades de Microsoft Exchange y que han detectado más de 5.000 servidores de correo repartidos por todo el mundo que han sido afectados por este incidente, "por lo que la amenaza no se reducie al grupo Hafnium, como parecía en un principio". Los grupos identificados por esta compañía son LuckyMouse, Calypso, Tick, Websiic, Winni Group, Tonto Team, ShadowPad, Backdoors de IIS, Mikroceen, DLTMiner y Opera Cobalt Strike. En concreto, este último atacó a alrededor de 650 servidores en Europa y EE UU unas horas después de que los parches se publicaran.

También Kaspersky asegura que dichas vulnerabilidades están siendo utilizadas por ciberdelincuentes en todo el mundo y afirma que prevén un número creciente de intentos de explotación "dirigidos a obtener acceso a los recursos dentro de los perímetros corporativos y acompañados de un alto riesgo de infección por ransomware y robo de datos".

Las autoridades de EE UU advirtieron este fin de semana que la “amenaza sigue activa”, según la BBC. Aunque Microsoft aseguró que el grupo chino ataca básicamente a objetivos estadounidenses, el caso de la EBA y los identificados por compañías como ESET (que también afectan a Oriente Medio, Latinoamérica, Europa y a diferentes países asiáticos) o Kaspersky, dejan claro que los ataques también han tenido lugar fuera de EE UU.

Microsoft, que dice estar trabajando de cerca con el Gobierno de EE UU y niega la relación de este caso con el ataque SolarWinds del pasado diciembre, aconseja que las organizaciones hagan actualizaciones tan pronto como sea posible de todos los sistemas afectados. También asegura que está implementando técnicas de mitigación para ayudar a quienes no pueden actualizar rápido, pero advierte que no son “una solución si los servidores Exchange ya se han visto comprometidos, ni son una protección total contra ataques”.

Desde ESET recomiendan a las organizaciones instalar con urgencia los parches de Exchange, incluso para aquellos que no estén conectados a internet. Y, en caso de compromiso, "los administradores de red deberían eliminar las webshells, modificar las credenciales e investigar cualquier actividad sospechosa adicional".

Avast, otra empresa de seguridad, que también advierte del riesgo que supone que estos ataques se conviertan en ataques potenciales de ransomware en el futuro, advierte sobre el fuerte impacto que estos ciberataques pueden tener en las pymes y las aconseja parchear inmediatamente, tomar medidas para determinar si sus sistemas han sido comprometido, desconectar y reconstruir cualquier sistema que se haya visto afectado y poner en marcha una monitorización y un escaneo de seguridad minucioso para detectar cualquier signo de compromiso en la red.