Microsoft descubrió a principios de marzo la presencia de vulnerabilidades día cero consideradas ‘críticas’ que permitían a los hackers una cadena de ataque iniciada por una conexión no segura.
Entre 30 mil organizaciones y 60 mil personas fueron víctimas de este masivo ciberataque mundial que le costó a la Fábrica Argentina de Aviones (Fadea) u$s 450 mil.
La presidenta de Fadea, Mirta Iriondo, explicó que “la empresa Microsoft tenía un ‘bug’, es decir una fisura en su plataforma de mensajes Exchange, que permitió el ciberataque”. “A partir de ese ‘bug’ no se sabe quién, pero atacaron a servidores europeos que se han visto comprometidos”, señaló.
Microsoft descubrió a principios de marzo la presencia de vulnerabilidades día cero consideradas ‘críticas’ que permitían a los ‘hackers’ una cadena de ataque iniciada por una “conexión no segura” a los servidores funcionando con Exchange. Al menos 30.000 organizaciones han sido atacadas en Estados Unidos, pero el número podría ser mucho más grande a nivel global.
Los expertos indican que aplicar los parches disponibles “debe ser una prioridad absoluta”, llegando incluso a desconectar cualquier servidor vulnerable que pueda estar ejecutando si no se puede parchear inmediatamente. Llegados a este momento, cualquiera que tenga un servidor Exchange “debe tomar medidas de investigación para comprobar si hay señales de compromiso”, añaden.
“A la hora de protegerse de un ataque como éste las compañías tienen tres alternativas: desplegar los parches aportados por Microsoft con carácter de urgencia, implementar mecanismos de protección frente a dichas vulnerabilidades (como puede ser el parcheado virtual) o, en casos extremos, desconectar dichos servidores de la red hasta que estos sean seguros”, añade José de la Cruz, director técnico de Trend Micro Iberia.
Microsoft continúa trabajando en solucionar las vulnerabilidades que han afectado recientemente al sistema operativo para servidores Microsoft Exchange Server, y ha asegurado que el 92 por ciento de las direcciones IP vulnerables ya se han actualizado, aunque ha alertado sobre los diferentes tipos de amenazas.
Los fallos de seguridad de Exchange, aprovechados por cibercriminales como los ‘hackers’ chinos de Hafnium, se han utilizado para realizar diferentes tipos de ataques, entre los que Microsoft ha destacado mineros de criptomonedas y ‘ransomware’, que -según la evaluación inicial- se habría dirigido a sectores como el legal, educación superior, defensa, investigación de enfermedades infecciosas, ONG y comités de expertos.
Cómo fue el ataque a Fadea
Iriondo relató que los hackers utilizaron este bug para ingresar al sistema de Outlook y tuvieron acceso a los correos electrónicos de estas empresas, con lo cual, por ende, pudieron entrar también a las cuentas de clientes.
“A partir de ahí crean dominios similares, como cuentas ‘espejo’ de tal manera que cada vez que una empresa se comunicaba con su cliente ellos captaban todos los correos”, explicó.
“Tenían copia de todos los mails que salen de las empresas y de los compradores, y en este caso, de Fadea”, señaló.
“Cuando la empresa real mandaba una factura, cambiaban la cuenta bancaria y, entonces, Fadea hace todo el trámite de pago habitual creyendo que se trata de su proveedor”, explicó. E indicó que “los dominios que se crean son casi iguales a los de la empresa, para que tanto compradores como vendedores no lo puedan notar”.
A sus usuarios les informó que la “mejor protección” es “hacer actualizaciones tan pronto como sea posible en todos los sistemas impactados”.