Los afiliados del ransomware LockBit han sido atrapados distribuyendo el malware (se abre en una pestaña nueva) a través de servidores de Microsoft Exchange comprometidos, según han confirmado varias fuentes.
El problema fue identificado por primera vez por la empresa de ciberseguridad de Corea del Sur AhnLab. El verano pasado, dos servidores pertenecientes a uno de sus clientes se infectaron con LockBit 3.0. Según el informe, los atacantes primero implementaron web shell, luego aumentaron los privilegios al administrador de Active Directory una semana después, robaron unos 1,3 TB de datos y cifraron los sistemas alojados en la red.
Si bien el ataque parece sencillo en teoría, existen algunos desacuerdos sobre cómo los actores de la amenaza lograron acceder a los servidores en primer lugar.
¿Nuevo día cero?
AhnLab parece creer que se aprovechó una falla de día cero: “Al observar el historial de vulnerabilidades de Microsoft Exchange Server, la vulnerabilidad de ejecución remota de código se reveló el 16 de diciembre de 2021 (CVE-2022-21969), la vulnerabilidad de escalada de privilegios se reveló en febrero. 2022, y la vulnerabilidad más reciente fue el 27 de junio».
“Es decir, entre las vulnerabilidades reveladas después de mayo, no hubo informes de vulnerabilidades relacionadas con comandos remotos o creación de archivos”, afirmó AhnLab en su informe.
«Por lo tanto, teniendo en cuenta que WebShell se creó el 21 de julio, se espera que el atacante haya utilizado una vulnerabilidad de día cero no revelada».
Asuntos de seguridad vio al experto en seguridad cibernética Kevin Beaumont interviniendo en la discusión, diciendo que un día cero es una posibilidad poco probable:
“Están sucediendo muchas cosas en este informe sobre el ransomware LockBit (se abre en una pestaña nueva)y no estoy convencido de que sea un día cero (no hay evidencia en el informe), pero hay que vigilarlo”, tuiteó.
Otro investigador de seguridad, Will Dormann, también enfatizó que el informe no apunta a un nuevo día cero: «Hasta ahora solo he hojeado una versión traducida de la página, pero ¿qué evidencia se proporciona de que es una vulnerabilidad diferente?» añadió.
Vía Asuntos de Seguridad (se abre en una pestaña nueva)