Black Kingdom: ransomware dirigido a Exchange
Nadie debería sorprenderse por la aparición de Black Kingdom. Arrancaba el mes de marzo cuando alertamos, por primera vez, de los problemas de seguridad de Microsoft Exchange Server. En aquel momento Microsoft ya indicó de que había cuatro vulnerabilidades, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, que ya estaban siendo explotadas activamente por los ciberdelincuentes, además de publicar los parches necesarios para que las instalaciones de Microsoft Exchange ya no pudieran ser atacadas mediante las mismas.
Hay sin embargo, dos problemas muy importantes. El primero, y que precisamente por habitual es especialmente peligroso, es el lapso de tiempo que transcurre desde que se informa sobre una vulnerabilidad hasta que todas las instalaciones del software afectado son actualizadas para prevenir ataques. Y es que esto debería ser prioritario, pero por una plétora de razones (algunas totalmente comprensibles, otras totalmente imperdonables) esto en muchas ocasiones no se demora horas, sino días, semanas, y en algunos casos incluso meses, un tiempo empleado por malware como Black Kingdom para explorarlas.
Detectado por la empresa de ciberseguridad Sophos, Black Kingdom es un recién llegado, nacido para explotar CVE-2021-27065 y que, afortunadamente según los técnicos, no es especialmente complejo. Pero eso no debe traducirse en laxitud y despreocupación al enfrentarlo. Esto es lo que podemos leer en el blog de Sophos:
«El ransomware Black KingDom está lejos de ser la carga útil más sofisticada que hemos visto. De hecho, nuestro análisis inicial revela que es algo rudimentario y amateur en su composición, pero aún puede causar un gran daño. Puede estar relacionado con un ransomware del mismo nombre que apareció el año pasado en máquinas que, en ese momento, ejecutaban una versión vulnerable del software concentrador Pulse Secure VPN.»
¿Te resulta familiar? Efectivamente, la versión insegura de Pulse Secure VPN fue la explotada, además de por Black Kingdom, por REvil, que obtuvo un suculento rescate (2,3 millones de dólares) tras secuestrar la infraestructura de Travelex, una agencia británica de cambio de divisas que, para su desgracia, protagonizó titulares hace algo menos de un año, y desde entonces ha sido empleada como ejemplo de lo que puede ocurrir si mantienes, durante meses, software inseguro en tu infraestructura.
Una buena noticia en relación con Black Kingdom es que hablamos de un ransomware que solo encripta los activos, no los exfiltra, por lo que una buena política de copias de seguridad y de recuperación ante incidentes puede minimizar su impacto. Sin embargo, y debido a su nivel técnico, no cuenta con medidas para detectar si los activos ya han sido cifrados previamente por otro ransomware.
A fecha de publicación del informe, Sophos detectó que al menos una víctima ya había pagado el rescate, algo menos de 8.000 euros (9.428,42 dólares). No obstante eso no indica el número real de afectados, y además la investigación se llevó a cabo hace unos días, por lo que seguramente su impacto haya sido mayor. Así, Black Kingdom es una razón más a sumar a las muchas ya existentes, para parchear las instalaciones inseguras de Microsoft Exchange a la mayor brevedad.
