El ataque global de China al popular software de correo electrónico de Microsoft revelado la semana pasada y un ataque ruso igualmente extenso descubierto hace tres meses han creado una guerra de dos frentes que amenaza con abrumar a los servicios de emergencia de ciberseguridad, según exfuncionarios estadounidenses y firmas de seguridad privada.
Antilavadodedinero / Bloomberg
La coincidencia de dos campañas de piratería de gran alcance lanzadas por Rusia y China, descubiertas con solo unas semanas de diferencia, ahora se está propagando por toda la economía mundial, inundando a las aseguradoras, el personal de TI y las empresas que se especializan en la caza y expulsión de piratas informáticos.
Las campañas de piratería gemelas involucran a los dos adversarios más poderosos del ciberespacio de Estados Unidos, y ambas han dado lugar a reuniones de emergencia del Consejo de Seguridad Nacional de la Casa Blanca, en parte debido a la red inusualmente amplia lanzada por los atacantes.
Pero para las decenas de miles de empresas que se han visto afectadas por uno u otro de los ataques, el golpe uno-dos los ha dejado luchando por proteger sus sistemas informáticos, en algunos casos de los piratas informáticos que se están acumulando en el estado-nación original. ataques.
“Es una carrera”, dijo Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft. “Desde el momento en que hicimos pública la disponibilidad de la actualización, hemos visto que el número de clientes comprometidos simplemente se disparó. Subió increíblemente rápido y sigue aumentando «.
Microsoft Corp. reveló el 2 de marzo que presuntos piratas informáticos patrocinados por el estado chino estaban explotando cuatro vulnerabilidades previamente desconocidas en el software de correo electrónico comercial Exchange, ampliamente utilizado por la compañía, y emitió un parche para esos sistemas.
Desde esa divulgación, otros piratas informáticos han utilizado programas automatizados para escanear Internet, en algunos casos buscando empresas que aún no han instalado la solución. Algunos de ellos son grupos criminales que intentan reutilizar los puntos de entrada secretos que China instaló en sus numerosas víctimas, según las empresas de ciberseguridad que monitorean las consecuencias.
La proximidad de los ataques de China y Rusia puede no ser una coincidencia, dicen los expertos en seguridad. China puede haber cronometrado su esfuerzo para aprovechar la distracción creada por el ataque ruso, que afectó a 18.000 clientes del fabricante de software con sede en Texas SolarWinds Corp. , incluidas agencias gubernamentales clave.
«El ataque a Microsoft Exchange es un ataque frío y calculado», dijo Lior Div, cofundador y director ejecutivo de Cybereason, una empresa de seguridad con sede en Boston. “Los atacantes chinos saben exactamente lo que están haciendo. La nueva administración se ha distraído con las investigaciones sobre otro adversario estadounidense en el campo de batalla cibernético, Rusia, y su calculada brecha contra SolarWinds «.
Un portavoz de la Casa Blanca dijo el lunes que miembros de alto nivel del Consejo de Seguridad Nacional del presidente Joe Biden trabajaron durante el fin de semana respondiendo al último incidente. Y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. En un aviso de emergencia el lunes describió la explotación de los piratas informáticos de las fallas en el producto de correo electrónico de Microsoft como ahora «generalizada e indiscriminada».
Durante meses antes de ser capturados en diciembre, los piratas informáticos del estado ruso utilizaron software SolarWinds alterado para espiar al menos a nueve agencias gubernamentales de EE. UU. Y cientos de empresas. El hack de China ya ha cobrado 60.000 víctimas en todo el mundo, informó Bloomberg el sábado, aunque algunas estimaciones han cifrado la cantidad de servidores Exchange que podrían ser vulnerables a la infección en cerca de 300.000 en todo el mundo.
«No puedo pensar en una infracción equivalente», dijo Alex Stamos, consultor de ciberseguridad y exjefe de seguridad de Facebook Inc., sobre el ataque chino. «Es una combinación del tipo de explotación masiva que a menudo se ve con enrutadores domésticos sin parches, pero en lugar de cripto mineros que no tienen ningún impacto, estos atacantes pueden obtener todo el correo electrónico de una organización».
Una víctima del ataque más reciente es la Autoridad Bancaria Europea, que dijo que había cerrado sus sistemas de correo electrónico mientras realizaba una investigación sobre un «ciberataque» en sus servidores Microsoft Exchange. Radu Burghelea, jefe de tecnología de la información, confirmó en un mensaje a Bloomberg que la organización había descubierto software malicioso en los servidores, pero aún no había detectado el robo de ningún correo electrónico de ellos.
Las tácticas utilizadas por China, en particular, dejan a las víctimas vulnerables a otros piratas informáticos. Las víctimas podrían tener sus sistemas de TI bloqueados por bandas de ransomware, la información personal de sus clientes y empleados podría ser robada y vendida a ladrones de identidad, o sus computadoras utilizadas para atacar a otros.
“Actualmente, la mayor parte de lo que hemos observado ha sido escaneo y reconocimiento automatizados”, dijo Mat Gangwer, director senior de respuesta administrada a amenazas de Sophos Ltd. , una compañía británica de ciberseguridad.
“La verdadera pregunta será si estas organizaciones pueden parchear, evaluar y limpiar sus entornos antes de que los actores más dañinos, como los grupos de ransomware, comiencen a aprovechar” el código malicioso que se ha instalado en los servidores, agregó.
Ese trabajo recaerá en firmas de seguridad especializadas y personal de TI interno que ya están agotados después de semanas de luchar contra el extenso y sofisticado ataque de Rusia.
«Lo que lo hace aún más difícil es que los defensores están experimentando oleadas sucesivas de ataques, y muchos no han podido restaurar sus entornos a una condición operativa segura, aunque las cosas pueden ‘parecer’ normales», dijo Michael Henry, director ejecutivo de Arbala Security Inc., con sede en Texas, describe su trabajo con clientes que enfrentan problemas consecutivos de SolarWinds y ahora las vulnerabilidades del servidor Exchange.
En el incidente más reciente, las empresas pueden instalar el parche emitido la semana pasada por Microsoft, pero eso no significa que los piratas informáticos se hayan ido. En algunos casos, los equipos especializados necesitarán rastrear los sistemas informáticos infectados, buscando puntos de entrada ocultos plantados por los piratas informáticos para excluirlos.
FireEye Inc. , una gran empresa de ciberseguridad de EE. UU., Ahora está respondiendo a docenas de casos en EE. UU., Europa y Asia en ataques que involucran el código defectuoso de Microsoft. Aún así, sin suficientes expertos disponibles de FireEye y otras empresas, el impacto de la última ola de ataques podría durar semanas o incluso meses.
“Habrá puertas traseras en los servidores de Exchange durante bastante tiempo”, dijo Charles Carmakal, vicepresidente senior de FireEye.