Los investigadores de seguridad advirtieron que las empresas afiliadas al ransomware Conti están explotando vulnerabilidades en ProxyShell en Exchange Server de Microsoft para atacar y hacerse cargo de las redes empresariales de forma remota.
ProxyShell es una cadena de ataque que se puede utilizar para ejecutar comandos aleatorios de forma remota en servidores Exchange locales sin parches, sin autenticación.
El proveedor de seguridad Sophos señala que los afiliados de Conti parecen haber acelerado significativamente sus ataques, difundiendo el ransomware en solo unas pocas horas en lugar de esperar semanas.
Sophos dijo que los delincuentes de ransomware instalan varios shells web en los servidores de Exchange, obteniendo rápidamente credenciales de administrador de dominio para mapear y controlar toda la red.
En un ataque, las filiales de Conti instalaron dos shells web, la herramienta de prueba de penetración Cobalt Strike, el software comercial de acceso remoto AnyDesk, Atera, Splashtop y Remote Utilities.
Intelicorp trabaja de la mano con SOPHOS y ofrece soluciones EndPoint para resguardar tu seguridad, haz click AQUÍ:
Sophos agregó que dentro de las 48 horas posteriores al acceso inicial a las redes de la víctima, los delincuentes de Conte robaron grandes cantidades de datos.
Cinco días después del espionaje inicial, los afiliados de Conti desplegarán el ransomware, apuntando a los recursos compartidos de la red en particular, para cifrar las computadoras de la víctima.
Sophos aconsejó a los operadores de Exchange Server que parcheen su software lo antes posible, ya que el riesgo de nuevos ataques es muy alto.
Fuente: https://www.detoque.net/los-atacantes-del-ransomware-conti-aprovechan-los-errores-de-intercambio-de-proxyshell-seguridad/
No hay comentarios.:
Publicar un comentario