Este exploit se descubrió a fines de 2020, se denomina ProxyLogon y es catalogado como de alto riesgo. Es aprovechado por grupos de criminales organizados
22.03.2021 • 10:42hs • En riesgo
En riesgo
Nuevo ataque informático global representa una gran amenaza para las empresas
A solo unos meses de terminar el año 2020, en donde la población mundial experimentó cambios de dimensiones sin precedentes, al punto tal de hablarse de una "nueva normalidad", los ciberdelincuentes no iban a dejar pasar las oportunidades que presenta este 2021 cargado de incertidumbre e interrogantes. Organizaciones de todo el mundo están siendo víctimas de un ciberataque que puede provocar grandes daños. No importa el tamaño, la actividad o la industria en donde desarrollen sus actividades las organizaciones, la gran mayoría están expuestas.
El ataque es de la familia de tipo "exploit" (el cual es un programa que se aprovecha de una vulnerabilidad o debilidad para poder ingresar a un sistema o red informática, como si se tratara de una suerte de llave informática). Un exploit puede ser utilizado para muchos fines maliciosos, entre los que se pueden mencionar, el robo de información, el ataque de infraestructuras críticas, la infección de equipos e incluso el secuestro de información sensible para luego solicitar el pago de un rescate para recuperarla (el llamado Ransomware).
Este exploit es denominado ProxyLogon y es catalogado como de alto riesgo. Se descubrió a fines del año 2020. Todo indicaría que las vulnerabilidades están siendo atacadas por grupos de cibercriminales organizados, entre la que se destacaría el grupo HAFNIUM, a quien se asocia con el gobierno chino. ProxyLogon afecta vulnerabilidades de todas las versiones de Microsoft Exchange Server, presente en un sinfín de empresas y organizaciones.
El FBI y otras instituciones que velan por la ciberseguridad, han emitido una advertencia sobre la explotación de estas vulnerabilidades en los productos de Microsoft. "El CISA y el FBI evalúan que los adversarios podrían explotar estas vulnerabilidades para comprometer redes, robar información, cifrar datos para obtener un rescate o incluso ejecutar un ataque destructivo. Los adversarios también pueden vender acceso a redes comprometidas en la web oscura", dijeron las agencias.
Son miles los servidores que están expuestos. Microsoft ha hecho público una serie de parches de seguridad para los servicios de Microsoft Exchange. Más allá de estas medidas de mitigación, es probable que no todos los usuarios expuestos hayan podido aplicar los parches antes de verse afectados.
Por esto último, Microsoft ha actualizado la herramienta que realiza escaneos de seguridad, llamada MSERT, para detectar los posibles problemas con ProxyLogon que pudiesen existir, para su posterior eliminación. Es primordial que los CISO, los CIO y todas las personas involucradas en áreas de TI trabajen de forma inmediata en materia de revisiones y evaluaciones para conocer si han sido alcanzadas por este ataque.
En conclusión, todo esto pone de manifiesto la importancia de colocar a la Seguridad de la Información y a la Ciberseguridad en el lugar que merece. En tiempos en donde la continuidad del negocio pasa por políticas de transición hacia lo digital, no se puede prescindir de políticas contundentes y primordiales que trabajen de forma proactiva y preventiva en pos del resguardo de los activos de la información.
Esto se logra con profesionales preparados en el Aseguramiento de Procesos Informáticos, inversiones adecuadas y sobre todo con un plan estratégico que defina la gobernanza, la administración del riesgo y el cumplimiento (GRC). El objetivo mínimo final que debe perseguir y sostener en el tiempo toda organización en materia de ciberseguridad es la denominada triada CID: confidencialidad, integridad y disponibilidad e de la información.
*Pablo Silberfich es Socio Aseguramiento de Procesos Informáticos, BDO en Argentina