Rackspace afectado por Play ransomware

A principios del mes de diciembre Rackspace fue atacado por PLAY ransomware , esto fue generado por  un exploit de día cero conocido como OWASSRF que combina dos fallas de Exchange Server: CVE-2022-41080 y una falla de ProxyNotShell, CVE-2022-41082. 

Ver boletín, Servidores Exchange siguen vulnerables a ProxyNotShell para más información de las vulnerabilidades mencionadas de Microsoft Exchange Server.

Ilustración 1: Noticia de la afectación a Rackspace
 

Rackspace

Es una empresa estadounidense de computación que se conforma como uno de los principales proveedores de conocimientos y servicios administrados para las principales tecnologías de nube privada y pública. 

Ejecución del Ataque

Según reveló éste jueves Rackspace, los atacantes accedieron a algunos de los archivos Personal Storage Table (PST) de sus clientes, que pueden contener una amplia gama de información, incluyendo correos electrónicos, datos de calendario, contactos y tareas.

Rackspace, también confirmó que la operación de ransomware Play estaba detrás del ciberataque que hizo caer su entorno alojado de Microsoft Exchange en diciembre del 2022, en donde resultaron comprometidos casi 30.000 clientes en el entorno de correo electrónico Hosted Exchange.

El ataque se llevó a cabo a través del acceso por parte de los ciberactores a la tabla Tabla de Almacenamiento Personal ('PST') de 27 clientes Hosted Exchange. 

Vector de Entrada 

Ransomware Play ha estado usando activamente como vector de entrada común Microsoft Exchange. Aprovechando la cadena de explotación de ProxyNotShell, con solicitudes POST realizadas a través del punto final de OWA.

Ilustración 2: Diferencia entre ProxyNotShell y el nuevo método de explotación OWASSRF
Fuente: https://noticiasseguridad.com/

De acuerdo a lo anterior se observó que CrowdStrike Services en su investigación reveló que varias intrusiones de ransomware Play en las que se sospechaba que el vector de entrada común eran las vulnerabilidades de Microsoft Exchange ProxyNotShell CVE-2022-41040 y CVE-2022-41082. En cada caso, CrowdStrike revisó los registros relevantes y determinó que no había evidencia de explotación de CVE-2022-41040 para el acceso inicial. En cambio, parecía que las solicitudes correspondientes se realizaron directamente a través del punto final de la aplicación web de Outlook (OWA), lo que indica un método de explotación no revelado anteriormente para Exchange, que llamaron OWASSRF, que elude la regla personalizada que diseñó Microsoft dentro del servidor Microsoft IIS compatible con Exchange.  el cual no toma en consideración las  mitigaciones de reescritura de URL para el punto final Autodiscover proporcionadas por Microsoft en respuesta a ProxyNotShell.

PLAY Ransomware

Play es un grupo relativamente nuevo en la escena del ransomware. En junio de este año usuarios comenzaron a reportar en foros ataques a usuarios de habla inglesa y en Alemania.

Como todas las operaciones de ransomware, los actores de amenazas pondrán en peligro una red y cifran los dispositivos. Al cifrar archivos, el ransomware agrega la  extensión .PLAY  como se muestra a continuación.

Sin embargo, a diferencia de la mayoría de las operaciones de ransomware que dejan largas notas de rescate para generar graves amenazas a sus víctimas, las notas de rescate de Play son inusualmente simples. No menciona el monto del rescate exigido por los atacantes, si están dispuestos a desbloquear archivos de forma gratuita como demostración, cuáles son los métodos de pago aceptados, etc.

En cambio, la supuesta nota de rescate consiste simplemente en el nombre de la amenaza. - 'PLAY' y una dirección de correo electrónico - 'gyeceeidia7y@gmx.com' Los usuarios deben tener en cuenta que las diferentes versiones de Play Ransomware pueden usar diferentes correos electrónicos como canales de comunicación.

En lugar de crear notas de rescate en cada carpeta, la  nota de rescate ReadMe.txt de Play solo se crea  en la raíz de un disco duro (C:\) y simplemente contiene la palabra 'PLAY' y una dirección de correo electrónico de contacto.

Medidas de Mitigación

En un comienzo Microsoft se tomó su tiempo para lanzar los parches de estas vulnerabilidades en noviembre del 2022, durante el proceso proporcionó medidas de mitigación que evitaban la reescritura de la URL. Sin embargo, en diciembre, los investigadores de Crowdstrike descubrieron OWASSRF, una forma de eludir esa mitigación y que permite a los ciberactores autenticados realizar ejecución remota de código (RCE) a través de Outlook Web Access (OWA),y aprovechar AnyDesk y Plink para mantener el acceso. 

En relación a lo anterior uno de los ciberactores que recientemente se descubrió usando ésta táctica fue  Ransomware Play, que usa activamente la técnica para eludir las mitigaciones de reescritura de URL de ProxyNotShell y obtener la ejecución remota de código (RCE).

Entendiendo que las medidas de mitigación se pueden evitar , como solución definitiva solo se recomienda proceder al parchado de los productos afectados a la última versión disponible. 

• Puede ingresar al siguiente enlace para ver las últimas actualizaciones publicadas:
  https://learn.microsoft.com/es-es/exchange/new-features/updates?view=exchserver-2019

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Los clientes deben consultar la publicación del Centro de respuestas de seguridad de Microsoft para conocer las últimas mitigaciones para el producto Exchange en el siguiente enlace: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
• Los clientes de Microsoft Exchange Server que utilizan microsoft 365, se recomienda seguir la siguiente lista de verificación:
  • Active la protección proporcionada por la nube en Microsoft Defender Antivirus o el equivalente de su producto antivirus para cubrir las herramientas y técnicas de los atacantes en rápida evolución. Las protecciones de aprendizaje automático basadas en la nube bloquean una gran mayoría de variantes nuevas y desconocidas.
  • Active las funciones de protección contra manipulaciones para evitar que los atacantes detengan los servicios de seguridad.
  • Ejecute EDR en modo de bloqueo para que Microsoft Defender para Endpoint pueda bloquear artefactos maliciosos, incluso cuando su antivirus que no sea de Microsoft no detecte la amenaza o cuando Microsoft Defender Antivirus se esté ejecutando en modo pasivo. EDR en modo de bloqueo trabaja entre bastidores para remediar los artefactos maliciosos que se detectan después de la infracción.
  • Active la protección de red para evitar que las aplicaciones o los usuarios accedan a dominios maliciosos y a otros contenidos maliciosos en Internet.
  • Habilite la investigación y reparación en modo totalmente automatizado para permitir que Microsoft Defender for Endpoint tome medidas inmediatas sobre las alertas para resolver las infracciones, reduciendo significativamente el volumen de alertas.
  • Utilice la detección de dispositivos para aumentar la visibilidad de la red mediante la búsqueda de dispositivos no administrados en la red y su incorporación a Microsoft Defender for Endpoint.