Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

¡Ransomware explota SharePoint! Se descubre 4L4MD4R, el ataque híbrido que asusta incluso a los gobiernos.

Redazione RHC : 5 agosto 2025 14:35

Una campaña masiva para explotar una serie de vulnerabilidades en Microsoft SharePoint continúa cobrando impulso, ahora involucrando a grupos de ransomware. Al analizar la serie de ataques, Palo Alto Networks (Unit 42) descubrió la introducción del ransomware 4L4MD4R, una variante basada en el código fuente abierto de Mauri870. Su actividad está directamente relacionada con una serie de exploits llamados ToolShell.

La primera infección se detectó el 27 de julio, cuando se detectó un malware de carga que recibía y ejecutaba 4L4MD4R desde el servidor theinnovationfactory[.]it en la dirección IP 145.239.97[.]206. El motivo de la detección fue un intento fallido de explotación con comandos de PowerShell destinados a deshabilitar los sistemas de monitorización de seguridad. Esto permitió a los especialistas descubrir la arquitectura del ataque.

El cifrador es un archivo UPX comprimido escrito en Go. Una vez ejecutado, descifra el archivo ejecutable cifrado con AES en memoria, le asigna un área de almacenamiento, carga el contenido e inicia la ejecución en un hilo independiente. A continuación, comienza a cifrar los datos en el sistema infectado, generando archivos con una extensión modificada, una lista del contenido cifrado y una nota de rescate. El importe del rescate es relativamente bajo: 0,005 bitcoins.

La cadena de exploits ToolShell, que explota las vulnerabilidades CVE-2025-49706 y CVE-2025-49704, ha despertado el interés de varios grupos asociados con agencias gubernamentales chinas. Según Microsoft, los ataques fueron perpetrados por al menos tres grupos chinos: Linen Typhoon, Violet Typhoon y Storm-2603. Anteriormente, se han reportado ataques en todo el mundo: en Norteamérica, Europa y Oriente Medio. Entre las víctimas se encuentran el Departamento de Educación de EE. UU., la Administración Nacional de Seguridad Nuclear, el Departamento de Hacienda de Florida, la Legislatura de Rhode Island y sistemas gubernamentales de varios países europeos.

Inicialmente, la empresa holandesa Eye Security detectó indicios de ataques de ToolShell y documentó la infección de 54 organizaciones. Sin embargo, análisis posteriores demostraron que esto era solo una parte del problema. Según Piet Kerkhofs, director de tecnología de Eye Security, al menos 400 servidores han sido infectados y el número de organizaciones comprometidas ha llegado a 148, todo ello mientras los atacantes llevan mucho tiempo presentes en la infraestructura.

Los investigadores de Check Point descubrieron que la actividad comenzó al menos el 7 de julio, y estaba dirigida a gobiernos, empresas de telecomunicaciones y organizaciones tecnológicas de Europa Occidental y Norteamérica. A pesar de que Microsoft corrigió las vulnerabilidades el martes de parches de julio, los ataques continuaron. La compañía ha asignado los nuevos identificadores de vulnerabilidad CVE-2025-53770 y CVE-2025-53771, fallas que se han explotado para comprometer incluso servidores SharePoint con parches completos.

Además, CISA ha añadido CVE-2025-53770 al catálogo de vulnerabilidades explotadas activamente de KEV y ha exigido a todas las agencias federales que aborden la amenaza en un plazo de 24 horas tras la notificación.

En general, el ataque Demuestra una estrategia coordinada: Múltiples grupos están detrás, se utilizan exploits multietapa, se desactivan las protecciones dirigidas y se integra el cifrado. Esto apunta al auge de las amenazas híbridas, donde la red de infección está impulsada no solo por ciberdelincuentes, sino también por intereses estatales.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Errores críticos en NVIDIA Triton permiten a los atacantes comprometer y robar el modelo de IA
Di Redazione RHC - 05/08/2025

Se han descubierto vulnerabilidades críticas en el servidor de inferencia Triton de NVIDIA, que amenazan la seguridad de la infraestructura de IA en Windows y Linux. Esta solución de có...

Exploit RCE de día cero y sin clics a la venta en iOS. Explora el mercado de ciberarmas para espionaje.
Di Redazione RHC - 01/08/2025

Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...

Microsoft enumera 40 empleos que desaparecerán gracias a la IA. Los empleos prácticos se mantienen.
Di Redazione RHC - 01/08/2025

Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.
Di Redazione RHC - 01/08/2025

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...