El Departamento de Justicia de EE.UU. anunció hoy una operación autorizada por un tribunal para copiar y eliminar shells web maliciosos de cientos de computadoras vulnerables que ejecutan versiones locales del software Microsoft Exchange Server que se utiliza para brindar servicios de correo electrónico a nivel empresarial.
Antilavadodediero / Justice.gov
Hasta enero y febrero de 2021, ciertos grupos de piratas informáticos explotaron vulnerabilidades de día cero en el software Microsoft Exchange Server para acceder a cuentas de correo electrónico y colocar shells web (que son fragmentos de código o scripts que permiten la administración remota) para un acceso continuo. Otros grupos de piratas informáticos siguieron su ejemplo a principios de marzo después de que se publicitaran la vulnerabilidad y el parche.
Aunque muchos propietarios de sistemas infectados eliminaron con éxito los shells web de miles de computadoras, otros parecían incapaces de hacerlo y cientos de estos shells persistieron sin paliativos. La operación de hoy eliminó los caparazones web restantes de un grupo de piratería temprana, que podrían haberse utilizado para mantener y escalar el acceso persistente y no autorizado a las redes de EE. UU. El FBI llevó a cabo la eliminación emitiendo un comando a través del shell web al servidor, que fue diseñado para hacer que el servidor elimine solo el shell web (identificado por su ruta de archivo única). Esto no está relacionado con el anuncio de Microsoft del 13 de abril.
“La eliminación autorizada por la corte de hoy de los shells web maliciosos demuestra el compromiso del Departamento de interrumpir la actividad de piratería utilizando todas nuestras herramientas legales, no solo procesamientos”, dijo el Secretario de Justicia Auxiliar John C. Demers de la División de Seguridad Nacional del Departamento de Justicia. “Combinado con los esfuerzos del sector privado y otras agencias gubernamentales hasta la fecha, incluido el lanzamiento de parches y herramientas de detección, juntos estamos mostrando la fuerza que la asociación público-privada aporta a la ciberseguridad de nuestro país. No cabe duda de que queda más trabajo por hacer, pero tampoco cabe duda de que el Departamento está comprometido a desempeñar su papel integral y necesario en tales esfuerzos ”.
“Combatir las amenazas cibernéticas requiere asociaciones con el sector privado y colegas del gobierno”, dijo la Fiscal Federal Interina Jennifer B. Lowery del Distrito Sur de Texas. “Esta operación autorizada por la corte para copiar y eliminar shells web maliciosos de cientos de computadoras vulnerables muestra nuestro compromiso de utilizar cualquier recurso viable para combatir a los ciberdelincuentes. Continuaremos haciéndolo en coordinación con nuestros socios y con el tribunal para combatir la amenaza hasta que se alivie y podamos proteger aún más a nuestros ciudadanos de estas infracciones cibernéticas maliciosas “.
“Esta operación es un ejemplo del compromiso del FBI de combatir las amenazas cibernéticas a través de nuestras duraderas alianzas con el sector privado y federal”, dijo Tonya Ugoretz, subdirectora interina de la División Cibernética del FBI. “Nuestra acción exitosa debe servir como un recordatorio para los ciberactores malintencionados de que impondremos riesgos y consecuencias por las intrusiones cibernéticas que amenacen la seguridad nacional y la seguridad pública del pueblo estadounidense y nuestros socios internacionales. El FBI continuará utilizando todas las herramientas disponibles para nosotros como la principal agencia de inteligencia y aplicación de la ley a nivel nacional para responsabilizar a los actores cibernéticos maliciosos de sus acciones “.
El 2 de marzo de 2021, Microsoft anunció que un grupo de piratas informáticos utilizó varias vulnerabilidades de día cero para apuntar a las computadoras que ejecutan el software Microsoft Exchange Server. Varios otros grupos de piratas informáticos también han utilizado estas vulnerabilidades para instalar web shells en miles de computadoras víctimas, incluidas las ubicadas en los Estados Unidos. Debido a que los web shells que el FBI eliminó hoy tenían una ruta de archivo y un nombre únicos, es posible que para los propietarios de servidores individuales hayan sido más difíciles de detectar y eliminar que otros web shells.
Durante marzo de 2021, Microsoft y otros socios de la industria lanzaron herramientas de detección, parches y otra informaciónpara ayudar a las entidades víctimas a identificar y mitigar este ciberincidente. Además, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad publicaron un Aviso conjunto sobre el compromiso de Microsoft Exchange Server el 10 de marzo de 2021. A pesar de estos esfuerzos, a fines de marzo, cientos de shells web permanecían en ciertas computadoras con sede en EE. UU. Que ejecutan Microsoft. Software de Exchange Server.
Aunque la operación de hoy tuvo éxito en copiar y eliminar esos web shells, no paró ninguna vulnerabilidad de día cero de Microsoft Exchange Server ni buscó ni eliminó ningún malware adicional o herramientas de piratería que los grupos de piratas informáticos pudieran haber colocado en las redes de las víctimas mediante la explotación de los web shells. . El Departamento recomienda encarecidamente a los defensores de la red que revisen la guía de corrección de Microsoft y el Aviso conjunto del 10 de marzo de 2021 para obtener más orientación sobre la detección y el parcheo.
El FBI está tratando de notificar la operación autorizada por el tribunal a todos los propietarios u operadores de las computadoras de las que eliminó los shells web del grupo de piratería. Para aquellas víctimas con información de contacto disponible públicamente, el FBI enviará un mensaje de correo electrónico desde una cuenta de correo electrónico oficial del FBI (@ FBI.gov) notificando a la víctima de la búsqueda. Para aquellas víctimas cuya información de contacto no está disponible públicamente, el FBI enviará un mensaje de correo electrónico desde la misma cuenta de correo electrónico del FBI a los proveedores (como el ISP de la víctima) que se cree que tienen esa información de contacto y les pedirá que proporcionen aviso a la víctima.
Si cree que tiene una computadora comprometida que ejecuta Microsoft Exchange Server, comuníquese con la oficina local del FBI para obtener ayuda. El FBI continúa llevando a cabo una investigación minuciosa y metódica sobre este incidente cibernético.
