Alerta de Microsoft: Ciberataques chinos desatan ola de ransomware en servidores SharePoint

Microsoft ha emitido una advertencia para las organizaciones que utilizan servidores SharePoint locales (on-premises). El gigante tecnológico ha confirmado que los hackers están explotando vulnerabilidades en estos servidores locales para desplegar ransomware. El equipo de Microsoft Threat Intelligence ha identificado a un actor específico, designado como Storm-2603, responsable de estas nuevas campañas de ransomware. Anteriormente, la explotación de vulnerabilidades en SharePoint se utilizaba para exfiltración de datos, pero las últimas observaciones sugieren ataques financieros motivados, utilizando el ransomware Warlock para paralizar redes y exigir pagos en criptomonedas. En una actualización publicada en su blog, Microsoft explica que el ataque comienza con la explotación de un servidor SharePoint local expuesto a Internet. Esta brecha inicial otorga acceso al entorno a Storm-2603, frecuentemente facilitada mediante un archivo malicioso llamado spinstall0.aspx. Una vez que los hackers consiguen acceso, proceden a desplegar el ransomware. Microsoft ha confirmado que SharePoint Online no se ve afectado, pero las versiones locales —incluyendo SharePoint 2016, 2019 y Subscription Edition— siguen siendo vulnerables si no se aplican los parches de seguridad correspondientes. Microsoft ha identificado a tres grupos vinculados a China: Estos grupos habrían explotado vulnerabilidades críticas en servidores SharePoint, dejando expuestas a organizaciones que gestionan el software en sus propias redes. Las brechas afectaron a entidades de múltiples sectores: agencias gubernamentales, empresas de energía, firmas de consultoría y universidades, en regiones que abarcan desde Estados Unidos hasta Europa y Oriente Medio. En el caso concreto de la National Nuclear Security Administration (NNSA) de EE.UU., fuentes cercanas señalaron que no se comprometió información sensible ni clasificada. Esta rama semiautónoma del Departamento de Energía, responsable de producir y desmantelar armas nucleares, fue objetivo junto a otros organismos federales, incluido el Departamento de Educación. Microsoft también ha compartido una serie de recomendaciones para ayudar a proteger los entornos de SharePoint Server locales: