El pasado 2 de marzo, Microsoft admitió que se habían observado ciberataques en los que los hackers estaban explotando cuatro vulnerabilidades de día zero de Microsoft Exchange Server con el objetivo de comprometer servidores de correo. Ese mismo día, lanzó un parche para cada una de las vulnerabilidades e instó a todos los que tengan servidores Exchange locales a actualizar sus servidores, ya que los equipos desactualizados siguen siendo vulnerables. Sin embargo, esta amenaza continúa extendiéndose y el pasado lunes ya se hablaba de que ya había afectado a más de 250.000 organizaciones.
Según ha alertado la compañía de ciberseguridad Check Point, solo en las últimas horas ha observado que el número de intentos de aprovechar las vulnerabilidades de Exchange Server se triplica cada 2-3 horas. Asimismo, advierte que la cifra total de intentos de ataque supera los 1.800 exploits en organizaciones de todo el mundo y que el país más atacado ha sido Estados Unidos (21% de todos los intentos de explotación), seguido de Alemania (8%) y de Turquía (7%). En cuanto a los sectores más atacados, indica han sido el sector público y militar (con un 13%), el manufacturero (12%) y el de Banca (8%).
"Desde que recientemente se revelaron las vulnerabilidades en los servidores Microsoft Exchange, se ha iniciado una carrera entre los piratas informáticos y los profesionales de la seguridad", indica Check Point en una entrada de su blog. "Expertos en ciberseguridad de todo el mundo están realizando grandes esfuerzos de prevención para combatir a los cibercriminales que producen exploits para aprovechar las debilidades de Microsoft Exchange", prosigue.
¿Qué empresas están en riesgo?
Check Point ha explicado que se puede considerar que el servidor de Microsoft Exchange de una empresa está en peligro si tiene acceso a internet y no se ha actualizado con los últimos parches ni se ha protegido con un software de terceros. "Los servidores comprometidos podrían permitir a un cibercriminal no autorizado extraer todos los correos electrónicos corporativos y ejecutar un código malicioso dentro de una empresa con elevados permisos", añade.
Además, cabe recordar que Check Point ha lanzado esta advertencia solo unos días después de que ESET revelara que esta amenaza no se reduce simplemente al grupo de APT Hafnium, como apuntó Microsoft en un principio, sino que al menos otros 10 grupos APT más están secuestrando servidores de email y ya han atacado más de 5.000.
Tras la publicación de Check Point, la compañía ha recibido numerosas preguntas sobre la identidad de los ciberdelincuentes, su motivación y el amplio contexto de los últimos ciberataques.
"En este caso, al igual que en el de Sunburst, se ha utilizado una plataforma común como puerta de entrada para acceder a la red sin ser visto y permanecer en ella durante mucho tiempo. La buena noticia es que sólo los cibercriminales altamente cualificados y bien financiados son capaces de utilizarla para entrar en decenas de miles de empresas de todo el mundo", ha señalado Eusebio Nieva, director técnico de Check Point para España y Portugal.
"Aunque el ciberataque al servidor Exchange Zero Days es bastante impactante, aún se desconoce el propósito de este y lo que buscaban los ciberdelincuentes dentro de la red. Las empresas que se encuentren en situación de riesgo no sólo deben tomar medidas preventivas en su Exchange, sino también escanear sus redes en busca de amenazas reales y evaluar todos los equipos", ha concluido Nieva.