Ataque a Microsoft Exchange: ¿Me ha afectado? y ¿qué puedo hacer ahora?

Rara vez las campañas de ciberespionaje aparecen con la escala de la situación actual que afecta a Microsoft Exchange Server. Cuatro vulnerabilidades han sido utilizadas por un grupo de amenazas ligado a China, según Microsoft.

Autor: Trend Micro

Se considera que al menos 30.000 organizaciones han sido atacadas en Estados Unidos, pero el número podría ser mucho más grande de forma global — dándole a los hackers control remoto sobre los sistemas de las víctimas. En nuestra revisión más reciente de Shodan, aún existen alrededor de 63.000 servidores expuestos que son vulnerables a estos exploits.

Aplicar los parches disponibles debe ser una prioridad absoluta, o desconectar cualquier servidor vulnerable que pueda estar ejecutando si no puede parchear inmediatamente. En este momento, cualquiera que tenga un servidor Exchange debe tomar medidas de investigación para comprobar si hay señales de compromiso.

Respaldamos por completo las recomendaciones dadas por Microsoft y otros fabricantes. Además, los clientes actuales de XDR pueden utilizar las búsquedas predeterminadas en Trend Micro Vision One para buscar indicios del ataque en su entorno. Estas búsquedas pueden encontrarse en este artículo de nuestra Base de Conocimientos, junto con detalles sobre las detecciones y protecciones adicionales que los clientes pueden aprovechar en todas sus soluciones de seguridad.

¿Qué ocurrió? 

Los ataques se remontan al 6 de enero de 2021, cuando un nuevo grupo de amenazas, posteriormente etiquetado como «Hafnium» por Microsoft, comenzó a explotar cuatro fallos zero-day en Microsoft Exchange Server. El grupo está utilizando servidores privados virtuales (VPS) ubicados en Estados Unidos para intentar ocultar su verdadera ubicación. Microsoft emitió parches de emergencia fuera de banda la semana pasada, diciendo en ese momento:

«En los ataques observados, el actor de la amenaza utilizó estas vulnerabilidades para acceder a los servidores Exchange locales, lo que permitió el acceso a las cuentas de correo electrónico y la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de las víctimas”.

Si se encadenan, las vulnerabilidades podrían ser explotadas para permitir a los atacantes autenticarse como el servidor Exchange, ejecutar código como System y escribir un archivo en cualquier ruta del servidor. Después de explotar los cuatro fallos, se dice que Hafnium despliega web shells que permiten al grupo robar datos y realizar acciones maliciosas adicionales para comprometer aún más sus objetivos. Esto podría incluir el despliegue de ransomware a las organizaciones víctimas.

Tanto la Casa Blanca como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) están muy preocupados por las consecuencias de largo alcance de la campaña. La CISA ha ordenado a las agencias gubernamentales que apliquen parches ahora o desconecten sus servidores Exchange locales.

También existe una posible conexión con la investigación del web shell Chopper ASPX que publicamos en enero de 2021. Trend Micro Research está analizando más a fondo cómo las campañas pueden estar relacionadas, y si se deben esperar campañas relacionadas adicionales. 

¿Estoy afectado?  

La evaluación inicial de Microsoft declara que Hafnium se ha dirigido a organizaciones en sectores como el legal, educación superior, defensa, investigación de enfermedades infecciosas, ONGs y comités de expertos. Sin embargo, hay razón para pensar que la última oleada de ataques pudo haber sido el trabajo de otros agentes maliciosos. Sea cual sea la fuente, el ex jefe de la CISA Chris Krebs advierte que las pymes, las organizaciones del sector educativo y los gobiernos estatales y locales pueden verse afectados desproporcionalmente ya que éstos a menudo tienen menos recursos para invertir en seguridad.

Si usted ejecuta servidores on-premise de Exchange, así es como puede revisar si se ha visto afectado: 

  • Escanee sus logs de Exchange Server con la herramienta de detección de Microsoft para revisar si se le ha comprometido 
  • Realice un barrido manual con Trend Micro Vision One para detectar los Indicadores de Compromiso (IoCs) conocidos asociados con esta campaña. 

¿Qué es lo que sigue? 

Si ha realizado un escaneo, descubrió que su ambiente aún no ha sido comprometido y aún no ha parchado, aplique los parches liberados por Microsoft tan pronto sea posible.

Si realiza el escaneo utilizando la herramienta de Microsoft y detecta evidencia de que un atacante pudo haber explotado estas vulnerabilidades en su ambiente, debe entrar a la modalidad de respuesta a incidentes.

Pero el enfoque que adopte puede depender de sus recursos internos y de la situación. Estos son nuestros consejos para las pymes y grandes organizaciones.

  1. Si no cuenta con un equipo de seguridad in-house, contacte a su proveedor de seguridad o MSP para que le brinden apoyo

  2. Si cuenta con un equipo in-house de respuesta a incidentes, ellos se encargarán de identificar los siguientes pasos
  3. No vuelva a respaldar ninguna máquina hasta que un escaneo forense ha declarado que ya no cuenta con ningún IoC
  4. Contacte a su equipo legal para comentar los requerimientos de las notificaciones de brecha 

Para más información sobre las detecciones y protecciones adicionales específicas para esta campaña que ofrece Trend Micro, por favor Revise este artículo de nuestra Base de Conocimientos, el cual se actualizará conforme vaya evolucionando la situación: https://success.trendmicro.com/solution/000285882

MNEMO Y TREND MICRO AMPLÍAN SU ALIANZA PARA LA PROTECCIÓN DE LOS ENTORNOS DE CLOUD HÍBRIDO

MNEMO, multinacional de origen español que ofrece soluciones y servicios integrales de ciberseguridad, y Trend Micro, líder global en seguridad cloud, anuncian la firma de un nuevo acuerdo en virtud del cual ambas compañías consolidan una alianza que se ha venido desarrollando en los últimos años para ayudar a sus clientes en la protección de sus entornos de cloud híbrida.

Como parte de su estrategia para posicionarse como líder en seguridad cloud en España y Latinoamérica, y con el objetivo es dar respuesta a los nuevos retos de ciberseguridad en el mundo digital incorporando la innovación “orientada a resultados” como principal eje, MNEMO ha puesto en marcha recientemente MNEMO Innovate. Esta nueva división de negocio permite a la firma ampliar su porfolio de servicios a clientes en las áreas de estrategia, cloud y data security, dando así respuesta a la creciente necesidad de protección en estos entornos.

MNEMO cuenta con un equipo de arquitectos de seguridad cloud que han seleccionado de forma preferente la plataforma Cloud One™ de Trend Micro para la protección de entornos complejos y heterogéneos (híbridos y multi-nube), con foco en capacidades de visibilidad centralizada, excelencia operacional, migración segura a la nube y protección de cargas nativas con arquitecturas modernas como contenedores y serverless, sin olvidar las soluciones de detección y respuesta a incidentes multi-vector (XDR).

“Para Trend Micro, en su estrategia de trabajo 100% a través de canal, es clave disponer de partners sólidos y fiables. Gracias a esta alianza con MNEMO, podemos trasladar a nuestros clientes los mejores niveles de excelencia consultiva y operativa, asegurando en fase de diseño los proyectos de trasformación digital con la migración de cargas y servicios a la nube”, explica Raúl Guillén, responsable de alianzas estratégicas de Trend Micro Iberia. 

“MNEMO y Trend Micro son compañías líderes en ciberseguridad en España y se complementan a través de sus valores, experiencias y clientes. Este acuerdo permitirá a ambas compañías continuar en su estrategia de colaboración y de prestación de servicios de ciberseguridad de alto valor añadido, ayudando a sus clientes a securizar su viaje al cloud”, señala David Lázaro, cofundador y CEO de MNEMO Innovate.

La CEO de Trend Micro, Eva Chen, nombrada una de las 100 Principales Mujeres en Ciberseguridad de 2020

Trend Micro, líder en seguridad cloud, ha anunciado que su CEO y cofundadora, Eva Chen, ha sido reconocida como una de las mujeres más influyentes en el sector de la ciberseguridad.

Eva Chen se sienta junto a muchas de las figuras más respetadas y conocidas de la industria en la lista Top 100 de Mujeres en Ciberseguridad para 2020 de la revista Cyber Defense Magazine, que reconoce a aquellas que han demostrado habilidades de liderazgo y experiencia en ciberseguridad sobresalientes durante el último año.

«Es un honor estar en una organización tan ilustre entre tantas otras mujeres fuertes en el campo de la seguridad», comenta Eva Chen, CEO y cofundadora de Trend Micro. «En realidad, hay muchas más de 100 mujeres destacadas trabajando en nuestro sector hoy en día, y es mi misión asegurarme de que animamos a más mujeres a considerar carreras en ciberseguridad en el futuro. Me complace aceptar este reconocimiento en nombre de los más de 6.700 empleados de Trend Micro inmensamente talentosos y apasionados que han ayudado a esta empresa a anticiparse continuamente a las tendencias y redefinir el mercado».

El último premio de Chen llega solo semanas después de que fuera nombrada en la lista Top 100 Executives de 2020 de CRN, que reconoce a las personas que han «demostrado un liderazgo ejemplar e ideas innovadoras».

El liderazgo ejecutivo de Trend Micro ha impulsado numerosos proyectos para fomentar el liderazgo tecnológico de la empresa durante el último año, entre los que se incluyen la adquisición de Cloud Conformity para proporcionar capacidades de gestión de la postura de seguridad en la nube, y el lanzamiento de la plataforma de seguridad unificada de la empresa Trend Micro Cloud One™, que ofrece protección de cargas de trabajo, contenedores, almacenamiento de objetos de archivo, entornos de aplicaciones, serverless y de red.

Eva Chen también ha seguido dedicada a las iniciativas filantrópicas de Trend Micro, incluida la nueva asociación Girls in Tech para ayudar a reducir la brecha de género en ciberseguridad, y ha sido muy activa en su defensa de una mayor diversidad, tanto dentro de la industria como en la sociedad en general.

La directiva sigue tan comprometida como siempre con guiar a Trend Micro y sus clientes a través de un período de incertidumbre global sin precedentes y un mayor riesgo de ciberseguridad.  

Chen también participará en la Conferencia Girls in Tech el 9 de septiembre de 2020. Para obtener más información e inscribirse en la conferencia, por favor visita: https://www.eventbrite.com/e/the-girls-in-tech-conference-tickets-105402642140?aff=odeimcmailchimp&mc_cid=cb77eef672&mc_eid=d90412d9df

Para ver la lista completa de mujeres reconocidas por Cyber Defense Magazine, visita:   

https://cyberdefenseawards.com/top-100-women-in-cybersecurity-for-2020/.

La CEO de Trend Micro, Eva Chen, reconocida como una de las 100 mejores ejecutivas tecnológicas por CRN

La cofundadora ha sido nombrada en la prestigiosa lista anual de líderes del canal TI de CRN

Trend Micro Incorporated (TYO: 4704; TSE: 4704), líder global en soluciones de ciberseguridad, ha anunciado que CRN®, una marca de The Channel Company, ha incluido a la cofundadora y CEO de Trend Micro, Eva Chen, en su lista de los Top 100 Executives de 2020.

La prestigiosa lista anual honra a los visionarios de la tecnología que impulsan e revolucionan el canal TI y la industria tecnológica en general. Identifica a los ejecutivos que han «demostrado un liderazgo ejemplar e ideas innovadoras» en medio de un mercado en rápida evolución, que ocupan cargos al frente de algunas de las organizaciones tecnológicas más exitosas del mundo.

La visión y el liderazgo de Eva Chen han consolidado la posición de Trend Micro como líder mundial en seguridad cloud. En los últimos doce meses, la compañía ha lanzado Trend Micro Cloud OneTM, su plataforma unificada de seguridad en la nube, diseñada para satisfacer las necesidades de las organizaciones globales modernas a medida que transforman sus centros de datos en la nube con protección a través de cargas de trabajo en la nube, contenedores, almacenamiento de archivos y objetos en la nube, serverless y aplicaciones, y entornos de red cloud. La plataforma líder en la industria también cuenta con la gestión de la postura de seguridad en la nube, tras la adquisición del principal proveedor Cloud Conformity, con capacidades diseñadas para hacer frente al principal desafío de la seguridad en la nube hoy en día: la mala configuración.

Estos esfuerzos han ayudado a Trend Micro a mantener su abrumador liderazgo en el mercado de la seguridad en la nube híbrida, con una cuota de mercado tres veces mayor que la del número dos, según IDC[1].

«Me gustaría aceptar este reconocimiento en nombre de todos los empleados que hacen de esta organización la historia de éxito innovadora y centrada en el cliente que es hoy, junto a nuestros partners, que son fundamentales para nuestro crecimiento. Compagino los sentimientos de humildad y orgullo por ser la fundadora y la cabeza visible, pero compartiré este reconocimiento con todos nuestros empleados de Trend Micro», señala Eva Chen, CEO y cofundadora de Trend Micro. «Es más importante que nunca en estos tiempos inciertos y problemáticos, en los que la igualdad sigue siendo una lucha para tantos, que los líderes empresariales se erijan como defensores de la diversidad. Por eso seguiré utilizando mi posición como CEO para impulsar los cambios necesarios para hacer del mundo un lugar más equitativo y tolerante».

Durante el tiempo que lleva en Trend Micro, Eva ha hecho hincapié continuamente en los valores de la empresa y en su deseo de ser una ciudadana corporativa global responsable, a través de una amplia variedad de trabajos filantrópicos y el firme compromiso de proporcionar un entorno seguro, empático y respetuoso para todos los empleados.

Eva Chen es una apasionada de buscar una mayor diversidad en la industria de TI, a través de iniciativas como Close the Gap ™, que promueve la incorporación de más mujeres y el talento de género diverso y les encuentra oportunidades para avanzar en sus carreras tecnológicas.


[1] Worldwide Hybrid Cloud Workload Security Market Shares, 2019, IDC, doc #US46398420, June 2020) 

Twitter hackeado en una estafa de Bitcoin

Por: Mark Nunnikhoven (Vice President, Cloud Research, Trend Micro)

Empezó con un extraño tweet. Luego otro. Rápidamente, algunas de las cuentas más destacadas en Twitter estaban enviando el mismo mensaje;

Estoy devolviendo a la comunidad.

Todos los Bitcoin enviados a la dirección a continuación serán devueltos por el doble! Si envías 1.000 dólares, yo devolveré 2.000 dólares. Solo haré esto durante 30 minutos.

 [- DIRECCIÓN DEL MONEDERO  BITCOIN -]

¿Apple, Elon Musk, Barack Obama, Uber, Joe Biden y muchos otros participan en un programa de bitcoin muy transparente?

No. Por supuesto que no. La pregunta era si las cuentas individuales estaban comprometidas o si estaba pasando algo más profundo.

Protección de la cuenta de usuario

Estas cuentas de alto perfil son los principales objetivos de los ciberdelincuentes. Tienen un amplio alcance, e incluso un breve compromiso de una de estas cuentas aumentaría significativamente la reputación de un hacker en el mercado clandestino o underground.

Es por eso que estas cuentas aprovechan las protecciones que ofrece Twitter para mantener sus cuentas seguras.

Esto significa;

Aunque se cree que una o dos de estas cuentas no tomaron estas medidas, es muy extraño que docenas y docenas de ellas lo hicieran. Entonces, ¿qué pasó?

Torbellino de rumores

Como con cualquier ataque público, el Twitter-verse (irónicamente) estaba lleno de especulaciones. Esa especulación se disparó cuando Twitter tomó la medida razonable de evitar que cualquier cuenta verificada twitteara durante unas tres horas. 

Este paso ayudó a evitar que se publicaran más tweets de la estafa y elevó aún más el perfil de este ataque.

Si bien algunos podrían evitar elevar el perfil de un ataque, esta fue una compensación razonable para evitar más daños a las cuentas afectadas y para ayudar a evitar que el ataque ganara más terreno.

Este movimiento también proporcionó una pista de lo que estaba pasando. Si se estaban atacando cuentas individuales, es poco probable que este tipo de movimiento haya hecho mucho para evitar que el atacante tuviera acceso. Sin embargo, si el atacante estaba accediendo a un sistema backend, esta mitigación sería efectiva.

¿Se había pirateado el propio Twitter?

La Navaja de Occam

Cuando se imaginan escenarios de ataque, una brecha directa del servicio principal es un escenario que a menudo se examina en profundidad, por lo que también es uno de los escenarios más planificados.

Twitter, como cualquier compañía, tiene desafíos con sus sistemas, pero se centran principalmente en la moderación de contenidos… la seguridad de su back-end es de primera categoría.

Un ejemplo de esto es un incidente en 2018. Los ingenieros de Twitter cometieron un error que suponía que la contraseña de cualquiera podría haber sido expuesta en sus registros internos. Por si acaso, Twitter instó a todos a restablecer su contraseña.

Aunque es posible, es poco probable que los sistemas backend de Twitter hayan sido violados directamente. Hay una explicación potencial mucho más simple: el acceso interno.

Captura de pantalla interna

Poco después del ataque, algunos en la comunidad de seguridad advirtieron de una captura de pantalla de una herramienta de soporte interno de Twitter que apareció en los foros de debate del underground. Esta rara vista interna mostraba lo que parecía ser lo que vería un miembro del equipo de soporte de Twitter.

Este tipo de acceso es peligroso. Muy peligroso.

El artículo de Joseph Cox que detalla el hack tiene una cita clave,

«Utilizamos un representante que literalmente hizo todo el trabajo por nosotros».

Fuente anónima

Lo que sigue sin estar claro es si se trata de un caso de ingeniería social (engañar a un privilegiado interno para que actúe) o de una persona interna maliciosa (alguien motivado internamente para atacar el sistema).

La diferencia es importante para otros defensores por ahí.

La investigación está en curso, y Twitter sigue proporcionando actualizaciones a través de @TwitterSupport;

Ingeniería Social

Donnie Sullivan de CNN tiene una fantástica entrevista con la legendaria Rachel Tobac que muestra lo simple que puede ser la ingeniería social y el peligroso impacto que puede tener;

Si este ataque fue realizado a través de ingeniería social, el equipo de seguridad de Twitter necesitaría implementar procesos y controles adicionales para asegurar que no vuelva a suceder.

Una situación así es lo que su equipo también necesita mirar. Si bien los restablecimientos de contraseñas, los cierres de cuentas, las transferencias de datos y otros procesos críticos corren un riesgo especial de ingeniería social, las transacciones financieras están en la cima de la lista de objetivos del ciberdelincuente.

Los ataques BEC –Business Email Compromise- representaron 1.700 millones de dólares en pérdidas solo en 2019.

Agregar confirmaciones adicionales en el canal lateral, pasos adicionales para las verificaciones, aprobaciones firmes y claras y otros pasos de proceso pueden ayudar a las organizaciones a mitigar este tipo de ataques de ingeniería social.

Insider malicioso

Si el ataque resulta ser de un infiltrado malintencionado. Los defensores deben adoptar un enfoque diferente.

Las personas malintencionadas con información privilegiada son un problema de seguridad y de recursos humanos.

Desde el punto de vista de la seguridad, hay dos principios clave que ayudan a mitigar el potencial de estos ataques;

Asegurarse de que los individuos solo tienen el acceso técnico necesario para completar sus tareas asignadas, y solo ese acceso es clave para limitar este ataque potencial. Combinado con la separación inteligente de las tareas (una persona para solicitar un cambio, otra para aprobarlo), esto reduce significativamente la posibilidad de que estos ataques causen daños.

El otro lado de estos ataques, del que no se habla mucho, es la razón de la intención maliciosa. Algunas personas son simplemente maliciosas, y cuando se les presenta una oportunidad, la aprovechan.

Otras veces, es un empleado que se siente descuidado, ignorado o que está descontento de alguna otra manera. Una comunidad interna fuerte, una comunicación regular y un programa sólido de recursos humanos pueden ayudar a abordar estos problemas antes de que se intensifiquen hasta el punto en que ayudar a un ciberdelincuente se convierta en una opción tentadora. 

Riesgos de soporte

Subyacente a toda esta situación hay una cuestión más desafiante; el nivel de acceso que tiene el soporte a cualquier sistema dado.

Es fácil pensar en una cuenta de Twitter como «tuya». Y no lo es. Es parte de un sistema dirigido por una compañía que necesita monitorizar la salud del sistema, responder a problemas de soporte y ayudar a las fuerzas policiales cuando sea legalmente requerido.

Todos estos requisitos necesitan un nivel de acceso en el que la mayoría no piensa.

¿Con qué frecuencia comparte información confidencial por mensajes directos? Es probable que esos mensajes se encuentren accesibles a través del soporte.

¿Qué les impide acceder a cualquier cuenta o mensaje en cualquier momento? No lo sabemos.

Esperemos que Twitter -y otros- tengan barreras de seguridad claras (técnicas y basadas en políticas) para prevenir el abuso del acceso al soporte, y que las auditen regularmente.

Es un equilibrio difícil de conseguir. La confianza de los usuarios está en juego, pero también la viabilidad de la gestión y ejecución de un servicio.

Políticas y controles claros y transparentes son las claves del éxito en este caso.

El abuso puede ser interno o externo. Los equipos de soporte suelen tener acceso privilegiado, pero también están entre los peor pagados de la organización. El soporte -fuera de la comunidad SRE- es usualmente visto como un nivel inicial.

Estos equipos tienen acceso altamente sensible, y cuando las cosas van mal, pueden hacer mucho daño. Una vez más, los principios de menor privilegio, la separación de funciones, y un fuerte conjunto de políticas pueden ayudar.

¿Qué sigue?

En los próximos días, saldrán a la luz más detalles del ataque. Mientras tanto, la comunidad sigue luchando para resolver el nivel de acceso obtenido y cómo se utilizó.

¿Obtener acceso a algunas de las cuentas más importantes del mundo y luego realizar una estafa de bitcoin? Según las transacciones de bitcoin, parece que los ciberdelincuentes lograron un poco más de 100.000 dólares. No es insignificante, pero ¿seguro que había otras oportunidades?

La navaja de Occam puede ayudar aquí de nuevo. Las estafas de Bitcoin y los mineros de monedas son el método más directo para que los ciberdelincuentes capitalicen sus esfuerzos. Dada la naturaleza de alto perfil del ataque, el tiempo antes del descubrimiento hubiera sido siempre más seguro. Esta puede haber sido la apuesta «más segura» para que los delincuentes se beneficien de este truco.

Al final, es una lección para los usuarios de redes sociales y otros servicios; incluso si se toman todas las precauciones de seguridad razonables, depende del servicio en sí para ayudarse a protegerse. Eso no siempre es cierto.

Es un duro recordatorio de que la propia herramienta que se pone en marcha para gestionar el servicio puede ser su mayor riesgo para los proveedores de servicios y los defensores… un riesgo que a menudo se pasa por alto y se subestima.

Al final, Marques Brownlee lo resume sucintamente;