Hackeo a Microsoft Exchange Server afecta a más de 30.000 organizaciones solo en Estados Unidos

El pasado miércoles Microsoft avisó de que un grupo de hackers de China, Hafnium, estaba atacando servidores, tanto en Estados Unidos como en otros países del mundo, a través de Microsoft Exchange Server. La compañía publicó también entonces los parches de seguridad necesarios para corregir el problema de seguridad que dio origen al ataque, que afecta a Exchange Server entre sus versiones 2013 a 2019. Pero lejos de mitigarse el hackeo, parece que los hackers redoblaron su actividad después de que se hiciese pública la brecha de seguridad, y en la actualidad ya han hackeado al menos 30.000 instituciones solo en Estados Unidos a raíz de esta brecha. Así lo aseguran desde la consultora KrebsOnSecurity.

El grupo ha acelerado sus ataques para intentar conseguir acceso a todos los servidores de Exchange posibles que no estén parcheados, un incremento de actividad dañina que se cree que ha afectado ya a cientos de miles de servidores en todo el mundo, lo que convierte a este ataque en mayor que el registrado en SolarWinds. Además, aunque las organizaciones que hayan sufrido el ataque hayan aplicado el parche publicado por Microsoft, puede que sigan afectadas por él.

Esto se debe a que como parte del ataque, el grupo de hacker deja instalado en el servidor una herramienta conocida como web shell, que en realidad es una utilidad de hackeo que permite acceder al sistema a distancia a través de un navegador, y con la que los atacantes contarían con acceso de administración a los servidores. Esto es, las organizaciones y empresas que apliquen los parches pueden evitar que suceda el hackeo, pero si ya han sido atacadas, puede que tengan esta herramienta instalada.

Entre las empresas y organizaciones que ya han sido víctimas del ataque hay miles en Estados Unidos, y de todo tipo. Desde entidades financieras hasta ONGs, pasando por servicios de emergencias.

La escala a la que se ha llevado a cabo el ataque ha llevado a la Agencia de seguridad de infraestructura y ciberseguridad de Estados Unidos, CISA, a emitir una directiva de emergencia en la que se pide a los departamentos y agencias federales que actualicen sus servidores de Microsoft Exchange o que los desconecten de Internet. Incluso la Secretaria de prensa de la Casa Blanca, Jen Psaki, ha avisado de que las vulnerabilidades de este ataque «podrían tener impactos mucho más graces, y se teme que podría haber un enorme número de víctimas«. Además, claro está, de pedir a todo tipo de entidades que usen Microsoft Exchange Server que parcheen sus sistemas y los revisen a conciencia por si ya han sido atacados.