Microsoft continúa trabajando en solucionar las vulnerabilidades que han afectado recientemente al sistema operativo para servidores Microsoft Exchange Server, y la compañía ha asegurado que el 92% de las direcciones IP vulnerables ya se han actualizado, aunque ha alertado sobre los diferentes tipos de amenazas, como ha informado Microsoft en un comunicado.
Después de descubrir cuatro vulnerabilidades en Microsoft Exchange, que afectaban a las versiones de 2016 y 2019 en especial, la compañía ha lanzado varios parches de actualización que mitigan el problema.
Entre sus últimos esfuerzos, la compañía estadounidense lanzó la semana pasada una nueva herramienta que soluciona los problemas con un solo clic, dirigida a empresas sin departamento de TI, así como la incorporación de estos mecanismos en el antivirus de serie de Windows, Microsoft Defender.
Diferentes tipos de ataques
Los fallos de seguridad de Exchange, aprovechados por cibercriminales como los hackers chinos de Hafnium, y otros grupos que han conseguido secuestrar 5.000 servidores de email, se han utilizado para realizar diferentes tipos de ataques, entre los que Microsoft ha destacado mineros de criptomonedas y ransomware.
Microsoft ha asegurado que "el número total de 'ransomware' se ha mantenido extremadamente pequeño hasta este punto", aunque ha compartido detalles de su funcionamiento para instar a las empresas afectadas a instalar las actualizaciones de seguridad "lo antes posible".
Entre las primeras amenazas de este tipo que se han aprovechado de la vulnerabilidad de Exchange se encuentra el 'ransomware' DoejoCrypt, que ha encriptado a "un número limitado" de usuarios, y realizando una copia de seguridad del gestor de cuentas de seguridad de Microsoft, lo que le permite acceder a las contraseñas.
Otro de los ataques más frecuentes derivados del fallo de seguridad ha sido la infección del minero de criptomonedas Lemon Duck. Este 'malware' hace que el dispositivo pase a formar parte de una red de 'bots' dedicados a minar criptomonedas.
Microsoft ha explicado que esta amenaza elimina primero mecanismos de seguridad en los servidores en los que se instala, y sus autores "comprometieron numerosos servidores de Exchange". Estos virus funcionaron "más como un cargador de 'malware' que como un simple minero", enviando el 'malware' a otros usuarios cuando se hacían con el acceso a las bandejas de correo.
Acer, empresa atacada por el fallo de seguridad de Microsoft
El fabricante taiwanés de portátiles y ordenadores Acer, actualmente atacado por un ransomsare lanzado por el grupo REvil, tiene el dudoso “honor” de ser víctima del chantaje conocido más caro de la historia de los ciberataques. Sus atacantes les han solicitado el pago de 50 millones de dólares para liberar los sistemas encriptados, cantidad que tienen que abonar antes del 28 de marzo.
El grupo de ciberatacantes informó a través de su página en la dark web que había accedido a los sistemas de Acer y obtenido información de la compañía, como balances bancarios y hojas de finanzas. Los datos personales de los usuarios de Acer, en principio, no estarían afectados.
Expertos señalan que este ciberataque estaría relacionado con el fallo de Microsoft Exchange de las últimas semanas y ya parcheado, con lo que supondría la primera vez que un grupo utiliza este grave fallo de seguridad de Microsoft para dirigir sus ataques contra otras empresas.