Alrededor de 100 organizaciones han sido blanco de ataques cibernéticos que explotan una vulnerabilidad en los servidores Microsoft SharePoint. Expertos advierten que esta campaña de ciberespionaje, aparentemente orquestada por hackers chinos, ha comprometido el software de servidores, afectando principalmente a agencias gubernamentales en EE. UU. y Alemania.
Google ha señalado a un actor de amenazas vinculado a China como responsable de al menos algunos de estos ataques, alertando sobre la posible expansión de la amenaza. La vulnerabilidad en cuestión es un fallo de seguridad de día cero que Microsoft ha intentado solucionar con parches de emergencia. Sin embargo, los ataques se han estado llevando a cabo desde el 18 de julio, afectando a empresas como un operador de energía privado en California y una firma fintech en Nueva York.
Los hackers han logrado extraer claves criptográficas de los servidores de clientes de Microsoft. Estas claves les permiten instalar prácticamente cualquier cosa, incluyendo malware o puertas traseras que facilitan el acceso posterior. Es crucial destacar que solo las versiones de SharePoint alojadas por el cliente, y no en la nube, son vulnerables. Este tipo de ataque podría resultar en el robo de secretos corporativos o la instalación de ransomware para cifrar archivos importantes.
Según Charles Carmakal, director de tecnología de Mandiant Consulting de Google, al menos uno de los actores responsables de la explotación inicial está vinculado a China. La preocupación principal es que múltiples actores están explotando activamente esta vulnerabilidad y se espera que esta tendencia continúe a medida que otros agentes de amenazas, motivados por diversas razones, aprovechen este exploit.
Investigadores sugieren que los ataques hasta ahora pueden atribuirse a un solo hacker o a un grupo reducido, pero la amplia gama de objetivos y el gran número de servidores vulnerables (estimados en hasta 8,000) representan una amenaza considerable. Si bien la actualización de seguridad debería prevenir nuevas intrusiones, los usuarios también deben rotar las claves de la máquina, buscar brechas de seguridad pasadas e implementar Antimalware Scan Interface (AMSI) y software antivirus.
Lecturas Relacionadas:
- Cómo proteger tu empresa contra ataques de ransomware: Guía para proteger sus sistemas de encriptación maliciosa. https://www.illumio.com/resource-center/cost-of-ransomware?utm_source=google&utm_medium=paid_search&utm_campaign=Search-NB-Ransomware-EMEA_22309958627&utm_term=ransomware%20protection&utm_creative=736909859990&utm_adgroup=176279016695&utm_device=c&gad_source=1&gad_campaignid=22309958627&gbraid=0AAAAADniACECGooVuzI1RbmQxxRcpYHY1&gclid=CjwKC Ajw7fzDBhA7EiwAOqJkh1YnaqFk0KI2dw0vuvsB28wvVbN_R14PpSPNJb8Oba7HVe2PqK3R3xoChC0QAvD_BwE
- Las últimas tendencias en ciberseguridad para 2024: Análisis de las amenazas emergentes y las mejores prácticas para la protección de datos. https://web-assets.esetstatic.com/wls/es/articulos/reportes/cybersecurity-trends-2024-es.pdf
Fuente Original:
Fuente Original: https://www.techradar.com/pro/security/microsoft-sharepoint-server-hack-sees-chinese-threat-actor-hit-roughly-100-orgs-heres-what-we-know-so-far
