Conecta con nosotros

Noticias

Los servidores con Microsoft Exchange, otra vez objetivo de ataques

Publicado el

Los servidores con Microsoft Exchange, otra vez objetivo de ataques

Solo unos días después de que se hiciesen públicos los ataques que están experimentando los servidores de Microsoft Exchange en empresas e instituciones de todo el mundo y de que Microsoft liberase parches y herramientas para cerrar las vulnerabilidades que los permitían y pidiese a quienes tenían Exchange en sus servidores que se diesen prisa en aplicar los parches, se ha conocido, según Bleeping Computer, otra oleada de ataques que están afectando a Exchange Server.

El investigador en seguridad Marcus Hutchins ha descubierto una nueva campaña de ataques, conocida como BlackKingdom, que aprovecha la vulnerabilidad ProxyLogon de Microsoft Exchange para desplegar ransomware en los sistemas que se atacan. Según este experto, «alguien ejecutó un script en servidores Exchange vulnerables a través de la vulnerabilidad ProxyLogon. Asegura ser el ransomware BlackKingdom, pero no parece que encripte los archivos, sino que solo copia una nota de rescate en cada uno de los directorios de la unidad de almacenamiento. Según mi blacklog de cebos, el mismo atacante ejecutó otro script unos días antes, pero no tuvo éxito«.

MCPRO Recomienda

Transformación Digital en España ¡Participa y envíanos tu caso de éxito!
Tendencias de inversión TIC en 2021 ¡Descárgate el informe!

Los atacantes intentaron un ataque de ransomware en las «trampas» de Hutchins, pero su contenido no se cifró, lo que sugiere que registró un intento de ataque fallido. No obstante, los mensajes enviados al servicio de identificación de ransomware ID Ransomware muestran que BlackKingdom sí que consiguió encriptar dispositivos de otras víctimas en ataques realizados a mediados de este mes de marzo.

Hasta ahora, BlackKingdom ha conseguido infectar víctimas en Estados Unidos, Canadá, Austria, Suiza, Rusia, Francia, Israel, Italia, Alemania, Reino Unido, Grecia, Australia y Croacia. Cuando se despliega con éxito, este ransomware cifra archivos mediante extensiones aleatorias, y cuando termina deja una nota de rescate con el nombre decrypt_file.TxT. Además, Hutchins también ha descubierto otra nota de rescate llamada ReadMe.TxT, que empleaba un texto ligeramente distinto.

Eso sí, en ambos casos las notas piden que las víctimas de los ataques paguen 10.000 dólares en bitcoin para poder descifrar el contenido de sus servidores. Esta no es la primera vez que este ransomware ataca sistemas. En junio del año pasado, varias redes corporativas se cifraron con este ataque a través de vulnerabilidades en la VPN Pulse.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!