Microsoft ha comunicado que ha encontrado un autor claro de la explotación crítica de falsificación de solicitud del lado del servidor (SSRF) relativa a sus servidores de Exchange. El actor de amenazas es la pandilla de ransomware Cuba.
La misma vunerabilidad también estaría siendo explotada por el grupo de ransomware Play, que pirateó los servidores en la nube de Rackspace mediante el exploit OWASSRF.
La empresa dirigida por Satya Nadella indica que los cibermalos atacaron los servidores tras superar las capacidades de reescritura de URL de ProxyNotShell.
El gigante de Redmond asegura que los piratas llevan aprovechando la vulnerabilidad desde noviembre del año pasado. Además, aconseja a sus clientes que prioricen el parche CVE-2022-41080 para bloquear posibles ataques.
Microsoft ha compartido esta información en una actualización de un informe de análisis de amenazas disponible para clientes con suscripciones de Microsoft 365 Defender, Microsoft Defender para Endpoint Plan 2 o Microsoft Defender para empresas.
Pese a que Microsoft lanzó actualizaciones de seguridad para abordar esta vulnerabilidad de SSRF Exchange el 8 de noviembre y proporcionó a algunos de sus clientes información de que las pandillas de ransomware están usando la falla, el aviso aún no se ha actualizado.
Más de un centenar de víctimas en 2022
En sus estadísticas de beneficios Cuba Ransomware presume de haberse embolsado 60 millones de dólares en rescates tras atacar a un centenar de objetivos a nivel mundial hasta agosto del año pasado.
Cuba habría duplicado su actividad en un año, ya que en 2021 tuvieron solo medio centenar de víctimas. Pese a esta cantidad menor ganaron 43,9 millones de dólares.
ste grupo de ransomware es bastante esquivo en el mundo online, lo que suele ser poco frecuente en este tipo de pandillas. Sus campañas de ataques se dan de diciembre a agosto y en el último trimestre del año descansan.
La pandilla Cuba, que no tiene relación con el país que le da nombre, se centra en sectores vinculados a las infraestructuras críticas. Principalmente atacan a industrias como los servicios financieros, las instalaciones gubernamentales, la atención médica y salud pública, la manufactura y las TIC.
Algunos de sus objetivos reconocidos más allá de Microsoft han sido la empresa Rackspace, la cadena alemana H-Hotels, los servicios municipales de la ciudad belga de Amberes y el Poder Judicial de Córdoba (en Argentina).