Grupos de ransomware se suman a la ola de ataques contra vulnerabilidades de Microsoft SharePoint

Introducción

En las últimas semanas, múltiples grupos de ransomware han intensificado sus operaciones aprovechando una cadena de vulnerabilidades en Microsoft SharePoint. Esta campaña de explotación, que ha comprometido al menos a 148 organizaciones a nivel global, pone de manifiesto el atractivo de los sistemas de colaboración empresarial como vectores de entrada privilegiados para los actores de amenazas. La tendencia evidencia la sofisticación y rapidez con la que los grupos criminales integran exploits recientes en sus arsenales, incrementando el nivel de riesgo para empresas de todos los sectores.

Contexto del Incidente o Vulnerabilidad

El incidente se enmarca en una campaña que comenzó a principios de 2024, cuando se identificaron los primeros intentos de explotación de vulnerabilidades específicas en SharePoint Server. Inicialmente atribuida a grupos APT y actores de cibercrimen orientados al robo de datos, la campaña ha evolucionado con la incorporación de operadores de ransomware, entre ellos variantes conocidas como LockBit, Black Basta y Play, que han adaptado sus TTPs para incluir la explotación de SharePoint como vector inicial.

El interés por SharePoint no es casual. Como plataforma ampliamente desplegada en el entorno corporativo, SharePoint suele estar expuesto a Internet y, con frecuencia, no se actualiza con la celeridad necesaria, lo que lo convierte en un objetivo recurrente para los atacantes.

Detalles Técnicos

La campaña se centra en la explotación de una cadena de vulnerabilidades que incluye, entre otras, la CVE-2023-29357 y la CVE-2023-24955. La primera permite la elevación de privilegios mediante la manipulación de tokens de autenticación, mientras que la segunda posibilita la ejecución remota de código (RCE) a través de la deserialización insegura en el servicio de SharePoint. Ambas vulnerabilidades afectan a versiones de SharePoint Server 2019 y SharePoint Server Subscription Edition previas a las actualizaciones de seguridad de junio de 2023.

El vector de ataque típico sigue el patrón: el atacante explota CVE-2023-29357 para obtener privilegios administrativos y, posteriormente, utiliza CVE-2023-24955 para ejecutar código arbitrario en el servidor. Posteriormente, se despliegan herramientas de post-explotación como Cobalt Strike o Metasploit para el movimiento lateral y la persistencia, siguiendo técnicas TTP asociadas a MITRE ATT&CK como T1078 (Cuentas válidas), T1059 (Ejecución de comandos) y T1021 (Acceso remoto).

Entre los Indicadores de Compromiso (IoC) detectados destacan la presencia de cargas maliciosas en rutas temporales, conexiones inusuales a servidores de comando y control (C2) y modificaciones en cuentas administrativas. Además, se han registrado actividades de exfiltración de datos mediante protocolos SMB y FTP.

Impacto y Riesgos

El impacto de la explotación es significativo. Según datos recopilados por firmas de inteligencia de amenazas, al menos 148 organizaciones han sufrido brechas atribuibles a esta cadena de vulnerabilidades, con una distribución sectorial que abarca desde manufactura hasta servicios financieros y administraciones públicas. En varios casos, la explotación ha desembocado en despliegues de ransomware que han paralizado operaciones críticas y provocado pérdidas económicas que, en conjunto, superan los 40 millones de euros.

El riesgo no se limita a la disponibilidad del sistema: la exfiltración de datos sensibles expone a las organizaciones a sanciones bajo el RGPD (Reglamento General de Protección de Datos) y la Directiva NIS2, además de un potencial impacto reputacional y contractual.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, Microsoft ha publicado actualizaciones de seguridad que corrigen las vulnerabilidades implicadas. Es imperativo, por tanto, aplicar los parches correspondientes a SharePoint Server 2019 y Subscription Edition sin demora.

Adicionalmente, se recomienda:

– Revisar y restringir la exposición de SharePoint a Internet.
– Implementar autenticación multifactor (MFA) para cuentas administrativas.
– Monitorizar el tráfico hacia y desde los servidores SharePoint en busca de IoCs relacionados.
– Revisar logs en busca de actividades sospechosas asociadas a las TTP mencionadas.
– Realizar auditorías periódicas de seguridad y pruebas de intrusión controladas.

Opinión de Expertos

Expertos en ciberseguridad consultados subrayan la rapidez con la que los actores de ransomware incorporan exploits zero-day y conocidos en sus operaciones. “El ciclo de vida entre la publicación de una vulnerabilidad y su explotación activa en campañas de ransomware se está acortando peligrosamente”, advierte un analista senior de un SOC europeo. Los especialistas destacan, además, la importancia de una estrategia de gestión de vulnerabilidades ágil y basada en riesgo, especialmente para servicios críticos como SharePoint.

Implicaciones para Empresas y Usuarios

Las empresas deben reevaluar su exposición, no solo desde el punto de vista técnico, sino también en términos de cumplimiento normativo. Un compromiso en SharePoint puede desencadenar obligaciones de notificación a las autoridades de protección de datos en menos de 72 horas, según el RGPD, y puede acarrear multas de hasta el 4% de la facturación global.

Para los usuarios, la principal recomendación es evitar el uso de credenciales compartidas y denunciar cualquier actividad anómala. Los administradores, por su parte, deben reforzar la segregación de privilegios y deshabilitar cuentas no utilizadas.

Conclusiones

La explotación de vulnerabilidades en Microsoft SharePoint por parte de grupos de ransomware representa una amenaza real y en evolución para las organizaciones. La combinación de exploits sofisticados, técnicas avanzadas de post-explotación y un potencial impacto económico y regulatorio exige una respuesta rápida y coordinada. La actualización diligente, la monitorización activa y la concienciación son, hoy más que nunca, elementos críticos en la defensa frente a este tipo de ataques.

(Fuente: www.bleepingcomputer.com)