Un ataque sofisticado al software de correo electrónico empresarial ampliamente utilizado de Microsoft se está transformando en una crisis de ciberseguridad global, ya que piratas informáticos se apresuran a infectar a tantas víctimas como sea posible antes de que las empresas puedan proteger sus sistemas informáticos.
El ataque, que Microsoft ha dicho que comenzó con un grupo de piratas informáticos respaldado por el Gobierno chino, ha cobrado hasta ahora al menos 60 mil víctimas en todo el mundo, según un exfuncionario estadounidense de alto rango con conocimiento de la investigación.
Muchos de ellos parecen ser pequeñas o medianas empresas atrapadas en una amplia red que lanzaron los atacantes mientras Microsoft trabajaba para acabar con el ataque.
Las víctimas identificadas hasta ahora incluyen bancos y proveedores de electricidad, así como hogares para personas de la tercera edad y una compañía de helados, según Huntress, una empresa con sede en Ellicott City, Maryland, que monitorea la seguridad de los clientes, dijo en una publicación de blog el viernes.
Una empresa estadounidense de ciberseguridad que pidió no ser identificada indicó que solo sus expertos estaban trabajando con al menos 50 víctimas, tratando de determinar rápidamente qué datos pudieron haber tomado los piratas informáticos mientras intentaban expulsarlos.
El ataque en rápida escalada despertó la preocupación de los funcionarios de seguridad nacional de Estados Unidos, en parte porque los piratas informáticos pudieron atacar a tantas víctimas con tanta rapidez. Los investigadores explicaron que en las fases finales del ataque, los piratas informáticos parecían haber automatizado el proceso, capturando decenas de miles de nuevas víctimas en todo el mundo en cuestión de días.
"Estamos llevando a cabo toda una respuesta del gobierno para evaluar y abordar el impacto", escribió un funcionario de la Casa Blanca en un correo electrónico este sábado. "Esta es una amenaza activa que aún se está desarrollando e instamos a los operadores de red a que se la tomen muy en serio".
El grupo de piratas informáticos chino, al que Microsoft identifica como Hafnium, parece haber estado irrumpiendo en redes informáticas privadas y gubernamentales a través del popular software de correo electrónico Exchange de la compañía durante varios meses, inicialmente apuntando solo a un pequeño número de víctimas, según Steven Adair, director de Volexity, con sede en el norte de Virginia. La compañía de ciberseguridad ayudó a Microsoft a identificar las fallas que estaban utilizando los piratas informáticos para las que el gigante del software emitió una solución el martes.
El resultado es una segunda crisis de ciberseguridad que se produce pocos meses después de que presuntos piratas informáticos rusos violaron la seguridad de nueve agencias federales y al menos 100 empresas a través de actualizaciones manipuladas del fabricante de software de gestión de TI SolarWinds. Los expertos en ciberseguridad que defienden los sistemas informáticos del mundo expresaron una creciente sensación de frustración y agotamiento.
¿Los atacantes realmente ya no están?
“Los 'chicos buenos' se están cansando”, dijo Charles Carmakal, vicepresidente senior de FireEye, empresa de ciberseguridad con sede en Milpitas, California.
Cuando se le preguntó sobre el señalamiento hacia China por la responsabilidad del ataque, un portavoz del Ministerio de Relaciones Exteriores chino dijo que el país "se opone firmemente y combate los ataques cibernéticos y el robo cibernético en todas sus formas" y sugirió que culpar a una nación en particular era un "tema político muy sensible".
Tanto el incidente más reciente como el ataque SolarWinds muestran la fragilidad de las redes modernas y la sofisticación de los piratas informáticos patrocinados por el Estado para identificar vulnerabilidades difíciles de encontrar o incluso crearlas para realizar espionaje.
También involucran ciberataques complejos, con un radio de explosión inicial de una gran cantidad de computadoras que luego se reduce a medida que los atacantes concentran sus esfuerzos, lo que puede llevar semanas o meses de resolver para las organizaciones afectadas.
En el caso de los ataques contra Microsoft, la simple aplicación de las actualizaciones proporcionadas por la empresa no eliminará a los atacantes de la red. Se requiere una revisión de los sistemas afectados, dijo Carmakal. Y la Casa Blanca enfatizó lo mismo, incluidos tuits del Consejo de Seguridad Nacional que instaban a la creciente lista de víctimas a que revisen cuidadosamente sus computadoras en busca de señales de los atacantes.
Inicialmente, los piratas informáticos chinos parecían apuntar a objetivos de inteligencia de alto valor en Estados Unidos, apuntó Adair. Hace aproximadamente una semana, todo cambió. Otros grupos de piratas informáticos no identificados comenzaron a atacar a miles de víctimas en un período corto, insertando software oculto que podría darles acceso más tarde, dijo.
Explotación masiva
“Comenzaron a realizar una explotación masiva: ataques indiscriminados que comprometen los servidores de intercambio, literalmente en todo el mundo, sin importar el propósito, el tamaño o la industria”, dijo Adair. "Estaban atacando a todos y cada uno de los servidores que podían".
Adair comentó que otros grupos de piratas informáticos pueden haber encontrado las mismas fallas y comenzar sus propios ataques, o que China puede haber querido capturar la mayor cantidad de víctimas posible y luego determinar cuál tenía valor de inteligencia.
De cualquier manera, los ataques fueron tan exitosos, y tan rápidos, que los piratas informáticos parecen haber encontrado una manera de automatizar el proceso.
"Si está ejecutando un servidor Exchange, lo más probable es que sea una víctima", advirtió.
Los datos de otras empresas de seguridad sugieren que es posible que el alcance de los ataques no sea tan malo. Los investigadores de Huntress examinaron alrededor de 3 mil servidores vulnerables en las redes de sus socios y encontraron alrededor de 350 infecciones, o poco más de 10 por ciento.
Si bien los piratas informáticos de SolarWinds infectaron organizaciones de todos los tamaños, muchas de las últimas víctimas son empresas pequeñas y medianas y agencias gubernamentales locales. Las organizaciones que podrían verse más afectadas son aquellas que tienen un servidor de correo electrónico que ejecuta el software vulnerable y está expuesto directamente a Internet, una configuración arriesgada que las empresas más grandes generalmente evitan.
Las organizaciones más pequeñas "ya están luchando debido a los confinamientos por COVID. Esto agrava una situación que ya es mala", indicó Jim McMurry, fundador de Milton Security Group, un servicio de monitoreo de ciberseguridad en el sur de California.
"Sé por trabajar con algunos clientes que esto está consumiendo una gran cantidad de tiempo para rastrear, limpiar y asegurar que no se vean afectados fuera del vector de ataque inicial", contó.
McMurry dijo que el problema es "muy grave", pero agregó que el daño debería mitigarse un poco por el hecho de que "esto se podía reparar, se podía arreglar".
Microsoft informó que los clientes que usan su sistema de correo electrónico basado en la nube no se ven afectados.
El uso de la automatización para lanzar ataques muy sofisticados puede marcar una nueva y aterradora era en la ciberseguridad, una que podría abrumar los recursos limitados de los defensores, advirtieron varios expertos.
Algunas de las infecciones iniciales parecen haber sido el resultado del escaneo e instalación automatizados de malware, dijo Alex Stamos, consultor de ciberseguridad. Los investigadores buscarán infecciones que llevaron a los piratas informáticos a dar el siguiente paso y robar datos, como archivos de correo electrónico, y buscarlos en busca de información valiosa más adelante, dijo.
“Si estuviera dirigiendo uno de estos equipos, estaría obteniendo el correo electrónico lo más rápido posible de forma indiscriminada y luego extrayendo oro en busca de oro”, dijo Stamos.