El pasado mes de marzo, unos analistas de ciberseguridad informaron de una reciente campaña de malware a través de phishing de la que se mostraron muy preocupados. Aunque el malware de esa campaña fue descubierto por vez primera en 2018, es ahora, en las últimas semanas, cuando se está propagando con mucha rapidez, hasta el punto de que los sistemas infectados superan los 90.000 y los servidores han llegado a los 2.000, con un crecimiento del 600%, de acuerdo con sus datos de telemetría. Este malware se denomina Purple Fox. Pero, ¿qué ha cambiado recientemente para que se extienda ahora con esa velocidad?

Botnet explotando vulnerabilidades_

Purple Fox se distribuía anteriormente a través de kits de explotación y utilizaba el correo electrónico como su gran vector de ataque. Sin embargo, su novedad es que ha agregado un módulo que le permite escanear e infectar sistemas basados en Windows y ahora también utiliza técnicas de fuerza bruta en servidores que tengan contraseñas y hashes que no sean especialmente fuertes. Para ello, se sirve también de vulnerabilidades que se encuentran en versiones antiguas de Windows Server, en concreto, con la versión 7.5 de Internet Information Services (IIS) y servidores que ejecutan Microsoft RPC, Microsoft Server SQL Server 2008 R2, Microsoft HTTPAPI httpd 2.0 y Microsoft Terminal Service.

Una vez infectado el sistema, el malware cierra los puertos del Firewall del sistema infectado y comienza a escanear en busca de otros sistemas conectados vulnerables y con contraseñas débiles. De esta manera, pasan a formar parte de un listado botnet operado por los ciberatacantes que después pueden utilizar para otros propósitos: como infectar aún más sistemas o realizar ataques de Denegación de Servicio (DDoS) usando los miles de infectados contra sistemas de organizaciones que tengan como objetivo, ya sea por cuestiones económicas o de otro tipo.

Contraseñas fuertes y parches_

Los analistas de ciberseguridad advirtieron que varios de los servidores infectados por PurpleFox pertenecen a pequeñas y medianas empresas (PYMES) que tenían contraseñas débiles y que no contaban con suficientes medidas de protección y con sistemas actualizados. Sin embargo, también se han producido organizaciones afectadas de mayor magnitud. En este sentido, el hecho de que las grandes organizaciones no cuenten con una política de contraseñas adecuada es un error más común de lo que parece: lo abordamos anteriormente en el blog con el caso de la agencia de crédito Equifax, que expuso los datos de 147 millones de personas, debido a unas credenciales del servidor que consistían en algo tan simple como el término “admin”.

Esto puede generar casos de extrema gravedad y hasta tal punto es así, que uno de los mayores ejemplos recientes de un ciberataque a infraestructura crítica también se produjo por tener unas claves sencillas: tal y como también comentamos el blog, unos ciberatacantes accedieron al ordenador del PLC de la planta de tratamiento de agua de Oldsmar (Florida) por culpa de una débil contraseña en el programa de acceso remoto Teamviewer que utilizaba la compañía utility.

En cualquier caso, tener contraseñas fuertes no es suficiente por sí sólo y las organizaciones también deben contar con herramientas de ciberseguridad avanzadas que les permitan gestionar con facilidad sus parches, tanto en sus servidores de Windows, como en sus sistemas operativos y aplicaciones de terceros en sus puestos de trabajo. Cytomic Patch constituye un módulo de seguridad complementaria para los equipos de operaciones IT que proporciona asesoramiento y una sencilla gestión de esos parches. Gracias a ello, podrán obtener con total visibilidad en tiempo real elementos como:

  • El estado de seguridad de las vulnerabilidades de su software.
  • Todas las actualizaciones críticas disponibles.
  • Los parches que aún no han instalado.
  • El software que ya no es compatible (EOL) para vigilar sus debilidades.
  • Grupos y perfiles vulnerables que hayan predefinido.

Además, los equipos de IT y los SOC también podrán acceder a los códigos de los exploits y a un registro de las vulnerabilidades críticas y recientes. De esta manera, las organizaciones podrán reducir la superficie de ataque e impedir que las amenazas como PurpleFox lleguen al endpoint.