Violación de datos de Microsoft Exchange Server en 2021

Serie de ciberataques que explotan el servidor de correo electrónico y calendario de Microsoft

Una ola global de ciberataques y violaciones de datos comenzó en enero de 2021 después de que se descubrieran cuatro exploits de día cero en servidores locales de Microsoft Exchange , lo que les dio a los atacantes acceso completo a los correos electrónicos y contraseñas de los usuarios en los servidores afectados, privilegios de administrador en el servidor y acceso a dispositivos conectados en la misma red. Los atacantes generalmente instalan una puerta trasera que les permite acceso completo a los servidores afectados incluso si el servidor se actualiza posteriormente para que ya no sea vulnerable a los exploits originales. Al 9 de marzo de 2021 ^[actualizar], se estimó que 250.000 servidores fueron víctimas de los ataques, incluidos servidores que pertenecen a alrededor de 30.000 organizaciones en los Estados Unidos, 7.000 servidores en el Reino Unido, ^[8] así como la Autoridad Bancaria Europea , el Parlamento noruego y la Comisión para el Mercado Financiero (CMF) de Chile. ^{[9] [10] [11] [12] [13] [14]}

El 2 de marzo de 2021, Microsoft lanzó actualizaciones para Microsoft Exchange Server 2010, 2013, 2016 y 2019 para reparar el exploit; esto no deshace de forma retroactiva el daño ni elimina las puertas traseras instaladas por los atacantes. Se sabe que las pequeñas y medianas empresas, las instituciones locales y los gobiernos locales son las principales víctimas del ataque, ya que a menudo tienen presupuestos más pequeños para protegerse contra las amenazas cibernéticas y, por lo general, subcontratan los servicios de TI a proveedores locales que no tienen la experiencia necesaria para lidiar con los ataques cibernéticos. ^[15]

El 12 de marzo de 2021, Microsoft anunció el descubrimiento de "una nueva familia de ransomware " que se estaba implementando en servidores inicialmente infectados, cifrando todos los archivos, dejando el servidor inoperable y exigiendo un pago para revertir el daño. ^[16] El 22 de marzo de 2021, Microsoft anunció que en el 92% de los servidores Exchange el exploit había sido parcheado o mitigado. ^[17]

Fondo

Microsoft Exchange se considera un objetivo de alto valor para los piratas informáticos que buscan penetrar en las redes empresariales, ya que es un software de servidor de correo electrónico y, según Microsoft, proporciona "un entorno único que podría permitir a los atacantes realizar varias tareas utilizando las mismas herramientas integradas o scripts que los administradores utilizan para el mantenimiento". ^[18] En el pasado, Microsoft Exchange ha sido atacado por múltiples grupos de estados-nación. ^{[19] [20]}

El 5 de enero de 2021, la empresa de pruebas de seguridad DEVCORE hizo el primer informe conocido sobre la vulnerabilidad a Microsoft, que Microsoft verificó el 8 de enero. ^[21] La primera vulneración de una instancia de Microsoft Exchange Server fue observada por la empresa de ciberseguridad Volexity el 6 de enero de 2021. ^[1] A finales de enero, Volexity había observado una vulneración que permitía a los atacantes espiar a dos de sus clientes y alertó a Microsoft sobre la vulnerabilidad. Después de que Microsoft fuera alertado sobre la vulneración, Volexity notó que los piratas informáticos se volvieron menos sigilosos en previsión de un parche. ^[22]

El 2 de marzo de 2021, otra empresa de ciberseguridad, ESET , escribió que estaban observando a varios atacantes además de Hafnium explotando las vulnerabilidades. ^[4] Wired informó el 10 de marzo que ahora que se había parcheado la vulnerabilidad, muchos más atacantes iban a aplicar ingeniería inversa a la solución para explotar servidores aún vulnerables. Los analistas de dos empresas de seguridad informaron que habían comenzado a ver evidencia de que los atacantes se estaban preparando para ejecutar software de criptominería en los servidores. ^[23]

El 10 de marzo de 2021, el investigador de seguridad Nguyen Jang publicó un código de prueba de concepto en GitHub, propiedad de Microsoft , sobre cómo funciona el exploit, con un total de 169 líneas de código; el programa se escribió intencionalmente con errores para que, si bien los investigadores de seguridad pudieran entender cómo funciona el exploit, los actores maliciosos no pudieran usar el código para acceder a los servidores. Más tarde ese día, GitHub eliminó el código porque "contiene código de prueba de concepto para una vulnerabilidad recientemente revelada que se está explotando activamente". ^{[24] [25]} El 13 de marzo, otro grupo publicó de forma independiente un código de explotación, que en cambio requería una modificación mínima para funcionar; Will Dormann, del Centro de Coordinación CERT, dijo que "el exploit ya está completamente fuera de la bolsa" en respuesta. ^[26]

Los ataques se produjeron poco después de la filtración de datos del gobierno federal de Estados Unidos de 2020 , en la que también se comprometió la aplicación web Outlook y la cadena de suministro de Microsoft . Microsoft dijo que no había conexión entre los dos incidentes. ^[27]

Autor

Microsoft dijo que el ataque fue perpetrado inicialmente por Hafnium , un grupo de piratería patrocinado por el estado chino ( amenaza persistente avanzada ) que opera desde China. ^{[5] [22] [6] [26]} Se sabe que Hafnium instala el shell web China Chopper . ^[26] Microsoft identificó a Hafnium como "un actor altamente calificado y sofisticado" que históricamente ha apuntado principalmente a "entidades en los Estados Unidos con el propósito de exfiltrar información de varios sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG". ^[28] Al anunciar el ataque, Microsoft declaró que esta era "la octava vez en los últimos 12 meses que Microsoft ha revelado públicamente grupos de estados-nación que apuntan a instituciones críticas para la sociedad civil". ^[28] Al 12 de marzo de 2021, había, además de Hafnium, al menos otros nueve grupos distintos que explotaban las vulnerabilidades, cada uno con diferentes estilos y procedimientos. ^{[7] [29]}

El gobierno chino negó su implicación y calificó las acusaciones de "infundadas". ^{[22] [30]}

En una declaración conjunta del 19 de julio de 2021, EE. UU. , el Reino Unido , la UE , la OTAN y otras naciones occidentales acusaron al Ministerio de Seguridad del Estado (MSS) de perpetrar la violación de Exchange, junto con otros ciberataques, "atribuyendo con un alto grado de confianza que actores cibernéticos maliciosos afiliados al MSS de la República Popular China llevaron a cabo operaciones de ciberespionaje utilizando las vulnerabilidades de día cero en Microsoft Exchange Server reveladas a principios de marzo de 2021" . ^{[31] [32] [33] [34]}

Metodología

Los piratas informáticos aprovecharon cuatro vulnerabilidades de día cero independientes para comprometer Outlook Web Access (OWA) de los servidores Microsoft Exchange, ^[2] lo que les dio acceso a todos los servidores y redes de las víctimas, así como a los correos electrónicos y las invitaciones del calendario, ^[4] primero solo solicitando la dirección del servidor, que puede ser atacada directamente u obtenida mediante un escaneo masivo de servidores vulnerables; luego, el atacante usa dos exploits, el primero permite que un atacante se conecte al servidor y se autentique falsamente como un usuario estándar. Con eso, se puede explotar una segunda vulnerabilidad, escalando el acceso de ese usuario a privilegios de administrador . ^{[35] [36]} Los dos exploits finales permiten a los atacantes cargar código al servidor en cualquier ubicación que deseen, ^[36] que se ejecuta automáticamente con estos privilegios de administrador. Luego, los atacantes generalmente usan esto para instalar un shell web , proporcionando una puerta trasera al servidor comprometido, ^[37] que brinda a los piratas informáticos acceso continuo al servidor siempre que tanto el shell web permanezca activo como el servidor Exchange permanezca encendido. ^[29]

A través del shell web instalado por los atacantes, se pueden ejecutar comandos de forma remota. Entre las acciones observadas se encuentran la descarga de todos los correos electrónicos de los servidores, la descarga de las contraseñas y direcciones de correo electrónico de los usuarios a medida que Microsoft Exchange las almacena sin cifrar en la memoria , la adición de usuarios, la adición de más puertas traseras a los sistemas afectados, el acceso a otros sistemas de la red que no son susceptibles al exploit original y la instalación de ransomware . ^[38] Como la aplicación de parches al servidor Exchange contra el exploit no elimina de forma retroactiva las puertas traseras instaladas, los atacantes continúan teniendo acceso al servidor hasta que se eliminen el shell web, otras puertas traseras y las cuentas de usuario agregadas por los atacantes. ^[39]

El 27 y 28 de febrero de 2021, se produjo un ataque automatizado, y el 2 y 3 de marzo de 2021, los atacantes utilizaron un script para volver a las direcciones y colocar un shell web que les permitiera volver más tarde. ^[29] En referencia a la semana que finalizó el 7 de marzo, el cofundador de CrowdStrike , Dmitri Alperovitch, afirmó: "Todas las posibles víctimas que no habían aplicado el parche a mediados o finales de la semana pasada ya han sido afectadas por al menos uno o varios actores". ^[40] Después de que se anunció el parche, las tácticas cambiaron al utilizar la misma cadena de vulnerabilidades. ^{[29] [41]}

Se confirmó que las versiones 2010, 2013, 2016 y 2019 de Microsoft Exchange Server son susceptibles, aunque aún no se han determinado por completo las ediciones vulnerables. ^[42] Los servicios basados ​​en la nube Exchange Online y Office 365 no se ven afectados. ^[43]

Impacto

Los piratas informáticos han explotado las vulnerabilidades para espiar a una amplia gama de objetivos, afectando a unos 250.000 servidores. ^{[11] [44]} Tom Burt, vicepresidente de Seguridad y Confianza del Cliente de Microsoft, escribió que los objetivos habían incluido investigadores de enfermedades, bufetes de abogados, universidades, contratistas de defensa, organizaciones no gubernamentales y grupos de expertos . ^{[28] [9] [45]}

Los administradores de servidores suelen desactivar las actualizaciones automáticas para evitar interrupciones por tiempos de inactividad y problemas en el software ^[46], y por convención los administradores de servidores las instalan manualmente después de probar estas actualizaciones con el software existente y la configuración del servidor [ ^47] ; como las organizaciones más pequeñas suelen operar con un presupuesto menor para hacer esto internamente o de lo contrario subcontratarlo a proveedores de TI locales sin experiencia en ciberseguridad, esto a menudo no se hace hasta que se convierte en una necesidad, si es que alguna vez lo hace. Esto significa que se sabe que las pequeñas y medianas empresas y las instituciones locales, como las escuelas y los gobiernos locales, son las principales víctimas del ataque, ya que es más probable que no hayan recibido actualizaciones para parchear el exploit. Se observa que las víctimas rurales están "en gran parte solas", ya que generalmente no tienen acceso a proveedores de servicios de TI ^[15] . El 11 de marzo de 2021, Check Point Research reveló que en las 24 horas anteriores "la cantidad de intentos de explotación en las organizaciones que rastrea se triplicó cada dos o tres horas". ^{[48] [49]}

Check Point Research ha observado que Estados Unidos es el país más atacado con un 17% de todos los intentos de explotación, seguido de Alemania con un 6%, el Reino Unido y los Países Bajos ambos con un 5%, y Rusia con un 4% de todos los exploits; el gobierno / ejército es el sector más atacado con un 23% de los intentos de explotación, seguido de la industria manufacturera con un 15%, la banca y los servicios financieros con un 14%, los proveedores de software con un 7% y la atención sanitaria con un 6%. ^{[26] [50]}

El ataque se descubrió después de que se descubriera que los atacantes descargaban todos los correos electrónicos pertenecientes a usuarios específicos en servidores Exchange corporativos separados. ^[38] Un grupo de expertos no revelado de Washington informó que los atacantes enviaron correos electrónicos convincentes a los contactos en un ataque de ingeniería social que alentaba a los destinatarios a hacer clic en un enlace. ^[45] El 11 de marzo de 2021, el parlamento de Noruega, el Storting , informó haber sido víctima del ataque y afirmó que "se han extraído datos". ^[51]

La Autoridad Bancaria Europea también informó que había sido blanco del ataque, ^[10] declarando posteriormente en un comunicado de prensa que el alcance del impacto en sus sistemas era "limitado" y que "la confidencialidad de los sistemas y datos de la EBA no se ha visto comprometida". ^[52]

La empresa de seguridad ESET identificó "al menos 10" grupos de amenazas persistentes avanzadas que comprometen empresas de TI, ciberseguridad, energía, desarrollo de software, servicios públicos , bienes raíces, telecomunicaciones e ingeniería, así como agencias gubernamentales de Medio Oriente y Sudamérica. Se identificó un grupo APT que implementaba descargadores de PowerShell , utilizando los servidores afectados para la minería de criptomonedas. ^{[7] El director ejecutivo} de Cybereason , Lior Div, señaló que el grupo APT Hafnium "se dirigió a pequeñas y medianas empresas ... El ataque contra Microsoft Exchange es 1.000 veces más devastador que el ataque a SolarWinds ". ^[53]

El 12 de marzo de 2021, Microsoft Security Intelligence anunció que se estaba implementando "una nueva familia de ransomware " llamada DearCry en los servidores que habían sido infectados inicialmente, cifrando el contenido de los dispositivos, inutilizando los servidores y exigiendo un pago para recuperar los archivos. ^[16] Microsoft afirmó: "No hay garantía de que pagar el rescate le dé acceso a sus archivos". ^[54]

El 18 de marzo de 2021, una filial de la banda cibernética de ransomware REvil afirmó haber robado datos no cifrados de la corporación taiwanesa de hardware y electrónica Acer , incluido un número no revelado de dispositivos cifrados, y la empresa de ciberseguridad Advanced Intel vinculó esta violación de datos y el ataque de ransomware con los exploits de Microsoft Exchange. Advanced Intel detectó que uno de los servidores Microsoft Exchange de Acer fue el primer objetivo el 5 de marzo de 2021. REvil ha exigido un rescate de 50 millones de dólares estadounidenses , afirmando que si se paga "proporcionarán un descifrador, un informe de vulnerabilidad y la eliminación de los archivos robados", y afirmando que el rescate se duplicaría a 100 millones de dólares estadounidenses si no se paga el 28 de marzo de 2021. ^[55]

Respuestas

El 2 de marzo de 2021, el Centro de Respuesta de Seguridad de Microsoft (MSRC) publicó un comunicado de Vulnerabilidades y Exposiciones Comunes (CVE) fuera de banda , instando a sus clientes a parchear sus servidores Exchange para abordar una serie de vulnerabilidades críticas . ^{[3] El 15 de marzo, Microsoft lanzó una herramienta} de PowerShell de un solo clic , la Herramienta de mitigación local de Exchange, que instala las actualizaciones específicas que protegen contra la amenaza, ejecuta un análisis de malware que también detecta los shells web instalados y elimina las amenazas que se detectaron; esto se recomienda como una medida de mitigación temporal, ya que no instala otras actualizaciones disponibles. ^[56]

El 3 de marzo de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) emitió una directiva de emergencia que obligaba a las redes gubernamentales a actualizar a una versión parcheada de Exchange. El 8 de marzo, la CISA tuiteó lo que NBC News describió como un "mensaje inusualmente sincero" instando a "TODAS las organizaciones de TODOS los sectores" a abordar las vulnerabilidades. ^{[57] [58]}

Otros organismos oficiales que expresaron su preocupación fueron la Casa Blanca , la Autoridad de Seguridad Nacional de Noruega y la Oficina de Seguridad Cibernética y de la Información de la República Checa. ^{[59] [60]} El 7 de marzo de 2021, CNN informó que se esperaba que la administración Biden formara un grupo de trabajo para abordar la violación; ^[61] la administración Biden ha invitado a organizaciones del sector privado a participar en el grupo de trabajo y les proporcionará información clasificada según se considere necesario. El asesor de seguridad nacional de Estados Unidos, Jake Sullivan, declaró que Estados Unidos aún no está en condiciones de atribuir la culpa de los ataques. ^[48]

En julio de 2021, la administración Biden, junto con una coalición de aliados occidentales, culpó formalmente a China por el ciberataque. La administración destacó la amenaza constante de los piratas informáticos chinos, pero no acompañó la condena con ningún tipo de sanción. Según la secretaria de prensa de la Casa Blanca, Jen Psaki , la administración no descarta futuras consecuencias para China. ^[62]

Véase también

• La ciberguerra china
• El espionaje chino en Estados Unidos
• La guerra cibernética en Estados Unidos
• Divulgaciones de vigilancia global (2013-actualidad)
• Lista de violaciones de datos
• Violación de datos del gobierno federal de Estados Unidos en 2020

Referencias

1. Krebs, Chris (5 de marzo de 2021). «Al menos 30.000 organizaciones estadounidenses han sido atacadas recientemente a través de agujeros en el software de correo electrónico de Microsoft». Krebs on Security . Archivado desde el original el 5 de marzo de 2021. Consultado el 10 de marzo de 2021 .
2. Greenberg, Andy (5 de marzo de 2021). "La ola de piratería informática china alcanzó una cantidad 'astronómica' de víctimas". Wired . ISSN  1059-1028 . Consultado el 10 de marzo de 2021 .
3. "Se han publicado varias actualizaciones de seguridad para Exchange Server". Centro de respuesta de seguridad de Microsoft . 2 de marzo de 2021 . Consultado el 10 de marzo de 2021 .
4. Collier, Kevin (3 de marzo de 2021). «Estados Unidos emite una advertencia después de que Microsoft afirmara que China había pirateado su programa de servidor de correo». NBC News . Archivado desde el original el 3 de marzo de 2021. Consultado el 10 de marzo de 2021 .
5. "Microsoft acusa a China de ciberataques a correos electrónicos". BBC News . 3 de marzo de 2021 . Consultado el 10 de marzo de 2021 .
6. "HAFNIUM ataca servidores Exchange con exploits de día cero". Microsoft Security . 2 de marzo de 2021 . Consultado el 10 de marzo de 2021 .
7. "Más grupos de piratas informáticos se suman al frenesí de ataques a Microsoft Exchange". BleepingComputer . 10 de marzo de 2021. Archivado desde el original el 10 de marzo de 2021 . Consultado el 11 de marzo de 2021 .
8. "Hackeo de Microsoft: 3.000 servidores de correo electrónico del Reino Unido siguen sin protección". BBC News . 12 de marzo de 2021 . Consultado el 12 de marzo de 2021 .
9. Murphy, Hannah (9 de marzo de 2021). "El ataque a Microsoft se intensifica a medida que los grupos criminales se apresuran a explotar las fallas" . Financial Times . Consultado el 10 de marzo de 2021 .
10. O'Donnell, John (8 de marzo de 2021). "El regulador bancario europeo EBA, objetivo de un ataque informático a Microsoft". Reuters . Consultado el 10 de marzo de 2021 .
11. Duffy, Clare (10 de marzo de 2021). "Esto es lo que sabemos hasta ahora sobre el hackeo masivo de Microsoft Exchange". CNN . Consultado el 10 de marzo de 2021 .
12. "El regulador bancario de Chile comparte IOC tras el hackeo de Microsoft Exchange". BleepingComputer . Consultado el 17 de marzo de 2021 .
13. "Comisión para el Mercado Financiero sufrió vulneración de ciberseguridad: no se conoce su alcance". BioBioChile - La Red de Prensa Más Grande de Chile (en español). 14 de marzo de 2021 . Consultado el 17 de marzo de 2021 .
14. V, Vicente Vera. "CMF desestima "hasta ahora" el secuestro de datos tras sufrir ciberataque". Diario Financiero (en español) . Consultado el 17 de marzo de 2021 .
15. "Las pequeñas empresas estadounidenses se enfrentan a la peor parte de los ataques a los servidores Exchange de China". TechCrunch . 10 de marzo de 2021. Archivado desde el original el 17 de marzo de 2021 . Consultado el 12 de marzo de 2021 .
16. "Microsoft advierte sobre ataques de ransomware a medida que aumenta el hackeo de Exchange". IT PRO . 12 de marzo de 2021. Archivado desde el original el 12 de marzo de 2021 . Consultado el 12 de marzo de 2021 .
17. "Microsoft: el 92% de los servidores Exchange vulnerables ya están parcheados y mitigados". www.msn.com . Consultado el 29 de marzo de 2021 .
18. "Cómo los atacantes atacan y explotan los servidores de Microsoft Exchange". Help Net Security . 25 de junio de 2020 . Consultado el 14 de marzo de 2021 .
19. Cimpanu, Catalin (9 de marzo de 2020). «Varios grupos de estados-nación están hackeando servidores de Microsoft Exchange». ZDNet . Archivado desde el original el 9 de marzo de 2020. Consultado el 14 de marzo de 2021 .
20. Cimpanu, Catalin (7 de mayo de 2019). "Los ciberespías rusos están utilizando una puerta trasera de Microsoft Exchange increíblemente inteligente". ZDNet . Archivado desde el original el 8 de mayo de 2019 . Consultado el 14 de marzo de 2021 .
21. Krebs, Brian (8 de marzo de 2021). "Una cronología básica del hackeo masivo de Exchange". Krebs on Security . Archivado desde el original el 8 de marzo de 2021. Consultado el 10 de marzo de 2021 .
22. Kevin, Collier (9 de marzo de 2021). "'Realmente complicado': por qué el hackeo del sistema de correo electrónico de Microsoft está empeorando". NBC News .
23. Newman, Lily Hay (10 de marzo de 2021). "Es temporada de ataques a Microsoft Exchange Server". Wired . ISSN  1059-1028 . Consultado el 10 de marzo de 2021 .
24. "Nuevo PoC para errores de Microsoft Exchange pone los ataques al alcance de cualquiera". BleepingComputer . 14 de marzo de 2021. Archivado desde el original el 14 de marzo de 2021 . Consultado el 15 de marzo de 2021 .
25. Claburn, Thomas (12 de marzo de 2021). «GitHub de Microsoft bajo fuego tras la desaparición de un exploit de prueba de concepto para una vulnerabilidad crítica de Microsoft Exchange». The Register . Archivado desde el original el 12 de marzo de 2021. Consultado el 15 de marzo de 2021 .
26. "Los ciberataques de Exchange aumentan a medida que Microsoft implementa una solución con un solo clic". threatpost.com . 16 de marzo de 2021. Archivado desde el original el 16 de marzo de 2021 . Consultado el 16 de marzo de 2021 .
27. "Hackeo de Microsoft: la Casa Blanca advierte de una 'amenaza activa' de ataque por correo electrónico". BBC News . 6 de marzo de 2021 . Consultado el 10 de marzo de 2021 .
28. Burt, Tom (2 de marzo de 2021). «Nuevos ciberataques de los Estados-nación». Microsoft On the Issues . Archivado desde el original el 2 de marzo de 2021. Consultado el 10 de marzo de 2021 .
29. "La cronología del hafnio se consolida: una llovizna en febrero, un diluvio en marzo". SC Media . 8 de marzo de 2021 . Consultado el 10 de marzo de 2021 .
30. "Conferencia de prensa habitual del portavoz del Ministerio de Relaciones Exteriores, Wang Wenbin, el 3 de marzo de 2021". Ministerio de Relaciones Exteriores de la República Popular China . 3 de marzo de 2021. Archivado desde el original el 3 de marzo de 2021. Consultado el 10 de marzo de 2021 .
31. Fried, Ina (19 de julio de 2021). «Estados Unidos y aliados clave acusan a China de ciberataques a Microsoft Exchange». Axios . Consultado el 19 de julio de 2021 .
32. Tucker, Eric (19 de julio de 2021). «China, Estados Unidos y sus aliados dicen que el hackeo de Microsoft Exchange fue causado por el hackeo». Associated Press . Consultado el 19 de julio de 2021 .
33. Kanno-Youngs, Zolan; Sanger, David E. (19 de julio de 2021). «Estados Unidos acusa formalmente a China de piratear Microsoft». The New York Times . Consultado el 19 de julio de 2021 .
34. Liptak, Kevin (19 de julio de 2021). «Estados Unidos culpa a China de los ataques informáticos y abre un nuevo frente en la ofensiva cibernética». CNN . Consultado el 19 de julio de 2021 .
35. "ProxyLogon". ProxyLogon (en chino (Taiwán)) . Consultado el 11 de marzo de 2021 .
36. "Falla crítica de Microsoft Exchange: ¿Qué es CVE-2021-26855? | UpGuard". www.upguard.com . Consultado el 16 de marzo de 2021 .
37. "Microsoft dice que los piratas informáticos respaldados por China están explotando los ataques de día cero de Exchange". TechCrunch . 2 de marzo de 2021 . Consultado el 10 de marzo de 2021 .
38. "Operación Exchange Marauder: explotación activa de múltiples vulnerabilidades de día cero en Microsoft Exchange | Volexity". www.volexity.com . 2 de marzo de 2021. Archivado desde el original el 2 de marzo de 2021 . Consultado el 11 de marzo de 2021 .
39. "30.000 organizaciones estadounidenses vulneradas por el grupo de ciberespionaje Hafnium". Revista de seguridad . 9 de marzo de 2021. Archivado desde el original el 13 de abril de 2021 . Consultado el 10 de marzo de 2021 .
40. "Grupos de piratas informáticos se suman a la creciente crisis de Microsoft Exchange". AppleInsider . 9 de marzo de 2021. Archivado desde el original el 9 de marzo de 2021 . Consultado el 11 de marzo de 2021 .
41. "Cuatro nuevos grupos de piratas informáticos se han sumado a una ofensiva en curso contra los servidores de correo electrónico de Microsoft". MIT Technology Review . 6 de marzo de 2021. Archivado desde el original el 6 de marzo de 2021 . Consultado el 10 de marzo de 2021 .
42. Hollister, Sean (8 de marzo de 2021). "Microsoft fue advertido hace meses; ahora, el ataque a Hafnium ha alcanzado proporciones gigantescas". The Verge . Archivado desde el original el 8 de marzo de 2021. Consultado el 10 de marzo de 2021 .
43. Novet, Jordan (9 de marzo de 2021). "El gran hackeo de correo electrónico de Microsoft: qué sucedió, quién lo hizo y por qué es importante". CNBC . Consultado el 15 de marzo de 2021 .
44. O'Donnell, John (8 de marzo de 2021). "El regulador bancario europeo EBA, objetivo de un ataque informático a Microsoft". Reuters . Consultado el 10 de marzo de 2021 .
45. "Las víctimas del ataque a Microsoft se apresuran a tapar los agujeros de seguridad". CBS News . 9 de marzo de 2021.
46. Leonhard, Woody (11 de diciembre de 2017). «Es hora: asegúrate de que la actualización automática de Windows esté desactivada». Computerworld . Consultado el 16 de marzo de 2021 .
47. "¿Actualizaciones automáticas para servidores?". TechGenix . 1 de agosto de 2005 . Consultado el 16 de marzo de 2021 .
48. Fung, Brian; Marquardt, Alex. "La Casa Blanca advierte que las organizaciones tienen 'horas, no días' para solucionar las vulnerabilidades a medida que aumentan los ataques a Microsoft Exchange". KMOV.com . Consultado el 13 de marzo de 2021 .
49. "Los ataques a organizaciones de todo el mundo se triplicaron cada dos horas tras la revelación de Microsoft de cuatro ataques de día cero". Check Point Software . 11 de marzo de 2021 . Consultado el 13 de marzo de 2021 .
50. "Los ataques a organizaciones de todo el mundo se multiplican por diez tras la revelación de Microsoft de cuatro ataques de día cero". Check Point Software . 11 de marzo de 2021 . Consultado el 16 de marzo de 2021 .
51. "Nuevo ciberataque contra el Storting" (Comunicado de prensa). 11 de marzo de 2021.
52. "Ciberataque a la Autoridad Bancaria Europea – ACTUALIZACIÓN 3". Autoridad Bancaria Europea . 9 de marzo de 2021 . Consultado el 11 de marzo de 2021 .
53. Whitney, Lance (8 de marzo de 2021). «Cómo el ataque a Microsoft Exchange podría afectar a su organización». TechRepublic . Archivado desde el original el 9 de marzo de 2021 . Consultado el 11 de marzo de 2021 .
54. "Ransom:Win32/DoejoCrypt.A". Inteligencia de seguridad de Microsoft . Archivado desde el original el 12 de marzo de 2021. Consultado el 12 de marzo de 2021 .
55. "El gigante informático Acer sufre un ataque de ransomware por valor de 50 millones de dólares". BleepingComputer . 19 de marzo de 2021. Archivado desde el original el 19 de marzo de 2021 . Consultado el 20 de marzo de 2021 .
56. "La herramienta de Microsoft proporciona mitigación automatizada de amenazas de Exchange". iTnews . 16 de marzo de 2021. Archivado desde el original el 16 de marzo de 2021 . Consultado el 16 de marzo de 2021 .
57. @USCERT_gov (9 de marzo de 2021). "Anuncio de CISA" ( Tweet ) – vía Twitter .
58. "Remediación de vulnerabilidades de Microsoft Exchange". Agencia de Seguridad de Infraestructura y Ciberseguridad . Archivado desde el original el 9 de marzo de 2021. Consultado el 10 de marzo de 2021 .
59. Murphy, Hannah (5 de marzo de 2021). «La Casa Blanca advierte de un 'gran número' de víctimas en el ataque a Microsoft». Financial Times .
60. Vavra, Shannon (5 de marzo de 2021). «Surgen víctimas de ataques de día cero en Microsoft Exchange Server». CyberScoop . Archivado desde el original el 5 de marzo de 2021. Consultado el 10 de marzo de 2021 .
61. Marquardt, Alex (6 de marzo de 2021). "Se espera que la administración Biden forme un grupo de trabajo para lidiar con el hackeo de Microsoft vinculado a China". CNN . Archivado desde el original el 7 de marzo de 2021 . Consultado el 10 de marzo de 2021 .
62. Tucker, Eric (19 de julio de 2021). «El hackeo de Microsoft Exchange fue causado por China, dicen Estados Unidos y sus aliados». AP News . Archivado desde el original el 19 de julio de 2021. Consultado el 3 de septiembre de 2021 .