Los investigadores de seguridad advirtieron que las empresas afiliadas al ransomware Conti están explotando vulnerabilidades en ProxyShell en Exchange Server de Microsoft para atacar y hacerse cargo de las redes empresariales de forma remota.
ProxyShell es una cadena de ataque que se puede utilizar para ejecutar comandos aleatorios de forma remota en servidores Exchange locales sin parches, sin autenticación.
El proveedor de seguridad Sophos señala que los afiliados de Conti parecen haber acelerado significativamente sus ataques, difundiendo el ransomware en solo unas pocas horas en lugar de esperar semanas.
1 minuto
En el caso de uno de los grupos de ataques basados en ProxyShell observados por Sophos, los afiliados de Conti pudieron llegar a la red del objetivo y configurar un shell web remoto en menos de un minuto. 14/4
– SophosLabs (@SophosLabs) 3 de septiembre de 2021
Sophos dijo que los delincuentes de ransomware instalan varios shells web en los servidores de Exchange, obteniendo rápidamente credenciales de administrador de dominio para mapear y controlar toda la red.
En un ataque, las filiales de Conti instalaron dos shells web, la herramienta de prueba de penetración Cobalt Strike, el software comercial de acceso remoto AnyDesk, Atera, Splashtop y Remote Utilities.
Sophos agregó que dentro de las 48 horas posteriores al acceso inicial a las redes de la víctima, los delincuentes de Conte robaron grandes cantidades de datos.
Cinco días después del espionaje inicial, los afiliados de Conti desplegarán el ransomware, apuntando a los recursos compartidos de la red en particular, para cifrar las computadoras de la víctima.
Sophos aconsejó a los operadores de Exchange Server que parcheen su software lo antes posible, ya que el riesgo de nuevos ataques es muy alto.