Los 'hackers' multiplican los secuestros de ordenadores a través de servidores de Microsoft

El secuestro de los ordenadores del SEPE (Servicio Público de Empleo Estatal) ha servido para que millones de personas de nuestro país hayan tomado conciencia de los peligros a los que nos enfrentamos cuando no se toman medidas apropiadas de seguridad en ordenadores y smartphones, o cuando nos confiamos ante un SMS o un email que nos llega de un remitente desconocido y, sin reparar en sus consecuencias, interactuamos con un malware que llega adjunto.

Este tipo de ataques son los más peligrosos porque no solo dejamos de tener control sobre los nuestros equipos, sino que los ciberdelincuentes aprovechan para cifrar toda la información, robarla en muchos casos y eliminarla finalmente si no accedemos a sus peticiones y no pagamos la cantidad de dinero que suelen exigir.

El caso es que los investigadores de seguridad han detectado en las últimas semanas todo un rosario de amenazas de ransomware que se han puesto en marcha de forma cada vez más acelerada, alrededor de una falla de seguridad detectada en los servidores de Microsoft Exchange. Ni qué decir tiene que en esa plataforma se aloja buena parte de la información sensible, no ya de millones de usuarios, sino también de decenas de miles de empresas, organizaciones y organismos públicos.

Tras desinfectarse, vuelven a estar comprometidos

Lo más inquietante de lo ocurrido con este error es que muchos de los ataque sufridos a esos servidores se corrigieron a través de actualizaciones en un primer momento, pero una segunda ola está volviéndolos a reinfectar. Hay que tener en cuenta que con la primera vez, los especialistas calculan que unos 100.000 servidores de Microsoft Exchange fueron infectados tras no llegar a tiempo para instalar los updates oficiales que los evitaban.

BlackKingdom ransomware on my personal servers. It does indeed encrypt files. They exclude c:\windows, however my storage drivers were in a different folder and it encrypted those... meaning the server doesn't boot any more. If you're reading BlackKingdom, exclude *.sys files pic.twitter.com/nUVUJTbcGO

— Kevin Beaumont (@GossiTheDog) March 23, 2021

El grupo que está detrás, conocido como Black Kingdom, está exigiendo el pago de 10.000 dólares para recuperar todos los datos contenidos en esos servidores y que han cifrado para evitar que se recuperen fácilmente. La falla de seguridad, de las consideradas como de día uno (o cero), permitía a cualquier hacker que conociera la URL hacerse con el control completo del servidor y, por tanto, de todos sus archivos.

Brett Callow, analista de seguridad de Emsisoft, afirmó que en uno de los ataques más recientes "no estaba claro por qué [...] Black Kingdom no pudo cifrar los datos". Y es que según el experto, "la versión inicial encriptaba los archivos, mientras que una posterior simplemente los renombraba". Es por eso que no queda claro "si ambas versiones operaron simultáneamente" así como el hecho de por qué "alteraron su código" en la segunda oleada.

Esto, según el especialista, puede deberse al intento de no realizar tareas que pudieran despertar la alerta en los sistemas de seguridad instalados en los servidores, como una especie de preámbulo a un ataque posterior mucho más importante. Sea como fuere, Microsoft tiene un problema grave porque como están constatando los investigadores, siquiera la instalación de parches en los servidores es garantía de que no puedan volverse a infectar y, por lo tanto, ser secuestrados de nuevo.