Kaspersky recomienda a empresas y gobiernos mantener actualizados los servidores de Exchange, a fin de evitar que grupos como Guacamaya sigan utilizando este mecanismo de acceso.
El grupo Guacamaya utiliza el malware para robar (exfiltrar) datos confidenciales.
Un reciente estudio del Equipo Global de Respuesta a Emergencias (GERT) de Kaspersky muestra que en el 40% de los ataques se utilizan herramientas legítimas.
Esto resalta una nueva tendencia en la que el uso de malware se produce sólo en las etapas finales del ataque.
- El 53.6% de los ciberataques comienza con la explotación de vulnerabilidades.
- La sigue el uso de cuentas comprometidas (a las que se les han robado credenciales) con un 17.9%.
- Y el uso de correos electrónicos maliciosos (para la instalación de malware o el robo de credenciales) con un 14.3%.
Eduardo Chavarro, miembro del Equipo Global de Respuesta a Incidentes para América Latina en Kaspersky, señaló que los hallazgos muestran que las empresas, al no actualizar sus sistemas, dejan las puertas abiertas para que entren los ciberdelincuentes.
Consulta también: Video: SEDENA alucina a la Guacamaya
Para evitar estos ataques, basta con aplicar las correcciones necesarias que, en este caso, están disponibles desde hace más de un año.
A pesar de comprender la criticidad que representan los correos electrónicos para nuestra vida digital actual y la dificultad de aplicar correcciones en este entorno, este es el único método y la manera más efectiva para prevenir estos ataques.
Chavarro reitero que es esencial que las empresas y los gobiernos mantengan actualizados los servidores de Exchange, ya que nada impide que los delincuentes sigan utilizando este mecanismo de acceso.
Orígenes del ataque
El informe de inteligencia de amenazas de Kaspersky muestra que las vulnerabilidades explotadas por Guacamaya en sus ataques se identificaron en febrero de 2021 y que luego se corrigieron en septiembre de ese mismo año.
Sin embargo, las actividades maliciosas del grupo se intensificaron en 2022, lo que indica que las organizaciones no están aplicando los parches de seguridad en sus sistemas, lo que les habría permitido evitar los incidentes reportados este año.
Los expertos de Kaspersky también han identificado otros grupos criminales que explotan estas mismas vulnerabilidades, lo que significa que una víctima puede ser atacada por dos o más grupos a la vez.
Adicionalmente, es de conocimiento público que existen nuevas vulnerabilidades en los servidores de correo electrónico (Exchange), denominadas “ProxyNotShell” (CVE-2022-41040 y CVE-2022-41082), pero no hay evidencia de que Guacamaya las esté explotando.