Ha pasado más de un mes desde que Microsoft instó a los usuarios a instalar unas actualizaciones de seguridad extraordinarias por unas importantes vulnerabilidades de Microsoft Exchange Server. Sin embargo, todavía sigue habiendo servidores de Exchange que no han sido parcheados y los ciberdelincuentes continúan explotándolos con una variedad de malware.
Hasta ahora se habían observado desde webshells hasta ransomware pero la compañía Sophos, que ya ofreció consejos para mitigar los riesgos de esta amenaza, ha informado que sus investigadores han detectado que no son las únicas cargas útiles dirigidas a los servidores de Exchange.
"Un atacante desconocido ha estado intentando aprovechar lo que ahora se conoce como el exploit' ProxyLogon' para instalar un criptominero de Monero malicioso en los servidores de Exchange, con la carga útil alojada en un servidor comprometido Exchange", señala la firma de ciberseguridad.
Cómo funciona este ciberataque
Según el análisis de Sophos, la billetera de Monero del atacante comenzó a recibir fondos el 9 de marzo, solo unos días después de que salieran a la luz las vulnerabilidades de Exchange.
Los investigadores explican que el ataque comienza con un comando de PowerShell que recupera un archivo de la ruta de inicio de sesión de Outlook Web Access de un servidor previamente comprometido, que a su vez descarga cargas útiles ejecutables para instalar el minero Monero. Según indican, el ejecutable parece contener una versión modificada de una herramienta que está disponible en Github y, cuando se ejecuta en un servidor comprometido, se elimina la evidencia de la instalación, mientras que el proceso de minería se ejecuta en la memoria.
De esta forma, es poco probable que los operadores de servidores que han sido atacados con malware de minería criptográfica se den cuenta de que hay un problema, a menos que el atacante se vuelva muy codicioso y utilice una gran cantidad de potencia de procesamiento, lo que se identifica fácilmente como inusual.
"El hardware del servidor es bastante deseable para el cryptojacking porque generalmente tiene un rendimiento más alto que un ordenador de escritorio o un portátil. Debido a que la vulnerabilidad permite simplemente a los atacantes escanear todo Internet en busca de máquinas vulnerables disponibles y luego colocarlas en la red, el dinero que llega a los atacantes es básicamente gratis", ha declarado a ZDNet Andrew Brandt, investigador principal de amenazas de Sophos.
Aunque Monero no es tan lucrativo como Bitcoin, es más fácil de minar, más difícil de detectar en la red de una víctima y proporciona un mayor anonimato, lo que es crucial para los ciberdelincuentes.
Aplicar las actualizaciones, clave para protegerse de estos ataques
Según declaró Microsoft a finales de marzo, el 92% de los servidores de Exchange ya se han actualizado. No obstante, la compañía advirtió que los servidores ya comprometidos aún están en riesgo y esta investigación evidencia que los cibercriminales siguen aprovechándose de los sistemas que siguen siendo vulnerables.
Para proteger las redes contra los ataques que se aprovechan de los fallos de seguridad en Microsoft Exchange Server, se recomienda encarecidamente aplicar las actualizaciones de seguridad lo antes posible.
"Mucho de esto habla de la necesidad de que los servidores, especialmente los servidores con conexión a Internet, ejecuten una protección de punto final moderna en ellos. Aparte de eso, Microsoft ha explicado con bastante claridad lo que se necesita para parchear las vulnerabilidades, por lo que los administradores deben ser diligente y hacer esas cosas", ha apuntado Andrew Brandt.