Una campaña masiva de ransomware está explotando vulnerabilidades previamente desconocidas en Microsoft SharePoint, con más de 400 organizaciones comprometidas según investigadores de seguridad. Estos ataques representan una peligrosa escalada de lo que comenzó como exploits dirigidos y que ahora se han convertido en despliegues automatizados de ransomware.
Las vulnerabilidades zero-day, que Microsoft ya ha parcheado en actualizaciones de emergencia, permitían a los atacantes ganar acceso inicial a redes corporativas a través de servidores SharePoint. Una vez dentro, los actores de amenazas se mueven lateralmente para desplegar ransomware en toda la red. Entre las organizaciones afectadas se encuentra una agencia nuclear estadounidense, lo que subraya la naturaleza crítica de estos ataques.
El equipo de seguridad de Microsoft confirmó que múltiples grupos de amenaza están armando activamente estas vulnerabilidades de SharePoint. Los ataques siguen un patrón conocido: compromiso inicial a través de servidores SharePoint con acceso web, escalamiento de privilegios, reconocimiento de red y finalmente despliegue de ransomware en tantos sistemas como sea posible.
Análisis técnicos revelan que los exploits apuntan a las capacidades de ejecución remota de código de SharePoint. Los atacantes combinan esto con técnicas de bypass de autenticación para obtener acceso administrativo sin credenciales válidas. Las cargas de ransomware observadas parecen ser variantes de familias conocidas, aunque modificadas para atacar específicamente documentos y bases de datos gestionados por SharePoint.
Los equipos de seguridad deben priorizar:
- Aplicación inmediata de las últimas actualizaciones de seguridad para SharePoint
- Revisión de todos los registros de acceso a servidores SharePoint en busca de actividad sospechosa
- Segmentación de servidores SharePoint respecto a recursos críticos de la red
- Verificación de copias de seguridad para todo el contenido gestionado por SharePoint
Microsoft ha publicado guías detalladas para identificar indicadores de compromiso, incluyendo patrones específicos de solicitudes HTTP y creaciones inesperadas de procesos. Las organizaciones sin equipos de seguridad dedicados deberían considerar contratar profesionales de respuesta a incidentes, ya que estos ataques suelen dejar puertas traseras incluso después del despliegue del ransomware.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.