### Cibercriminales vinculados a China explotan vulnerabilidad en SharePoint para desplegar ransomware
#### Introducción
En las últimas semanas, se ha detectado una campaña de ransomware dirigida por el grupo de amenazas persistentes avanzadas (APT) identificado como Storm-2603, de origen chino, que está explotando vulnerabilidades en Microsoft SharePoint. Esta ofensiva afecta principalmente a organizaciones que utilizan entornos SharePoint on-premises, comprometiendo la integridad, disponibilidad y confidencialidad de la información corporativa crítica. El incidente ha suscitado la alerta de equipos de seguridad, especialmente en sectores con altos requisitos regulatorios bajo normativas como GDPR y la inminente NIS2.
#### Contexto del Incidente
Storm-2603 es un actor de amenazas vinculado a intereses geoestratégicos chinos y conocido por su sofisticación en campañas de intrusión y exfiltración de datos. En esta ocasión, el grupo ha centrado sus esfuerzos en explotar vulnerabilidades no parcheadas en Microsoft SharePoint Server, aprovechando la frecuente falta de actualización de estos entornos en grandes corporaciones y organismos públicos. La campaña ha sido identificada por equipos de Threat Intelligence y analistas SOC de diversas regiones, con un notable incremento en la actividad maliciosa desde mayo de 2024.
Microsoft SharePoint, ampliamente adoptado para la colaboración interna y la gestión documental, se convierte en un objetivo atractivo debido a la alta concentración de activos críticos y la integración con otros servicios corporativos.
#### Detalles Técnicos
El vector de ataque principal identificado en esta campaña es la explotación de la vulnerabilidad **CVE-2023-29357**, una falla de elevación de privilegios en SharePoint Server. Esta vulnerabilidad permite a actores no autenticados ejecutar comandos arbitrarios y obtener control total sobre el servidor afectado. El exploit público para esta CVE ya está disponible en frameworks como **Metasploit**, y se ha observado su integración en toolkits automatizados de explotación.
**Tácticas, Técnicas y Procedimientos (TTPs) según MITRE ATT&CK:**
– **T1190 (Exploit Public-Facing Application):** Acceso inicial mediante explotación directa de SharePoint expuesto a Internet.
– **T1059 (Command and Scripting Interpreter):** Ejecución de scripts PowerShell y comandos arbitrarios tras la explotación.
– **T1569 (System Services):** Uso de servicios del sistema para desplegar cargas útiles de ransomware.
– **T1486 (Data Encrypted for Impact):** Cifrado de archivos y comparticiones usando variantes personalizadas de ransomware.
**Indicadores de Compromiso (IoC):**
– Conexiones sospechosas desde rangos IP atribuidos a infraestructura china.
– Creación de cuentas de usuario con privilegios elevados sin justificación.
– Ejecución de binarios ofuscados localizados en rutas temporales de SharePoint.
Se ha constatado la utilización de herramientas de post-explotación como **Cobalt Strike** para el movimiento lateral y la persistencia, así como la activación de mecanismos anti-forense para dificultar la atribución y el análisis forense.
#### Impacto y Riesgos
Las consecuencias de esta campaña son significativas:
– Compromiso y cifrado de datos confidenciales almacenados en SharePoint.
– Interrupción de operaciones críticas y caída de servicios internos.
– Exfiltración de información sensible, con riesgo de filtración pública o venta en foros clandestinos.
– Costes de recuperación que pueden superar los **500.000 euros** por incidente, considerando rescates, restauración y daños reputacionales.
– Posibles sanciones regulatorias bajo **GDPR** y futuras obligaciones de notificación bajo **NIS2**.
Según estimaciones de firmas de ciberseguridad, el 12% de las organizaciones europeas con SharePoint on-premises podrían estar expuestas si no aplican parches de seguridad recientes.
#### Medidas de Mitigación y Recomendaciones
Para mitigar el riesgo de esta amenaza, los expertos recomiendan:
– **Aplicación inmediata de parches**: Actualizar SharePoint Server a la última versión disponible, incluyendo la corrección para **CVE-2023-29357**.
– **Revisión de accesos externos**: Limitar la exposición de SharePoint a Internet y aplicar segmentación de red.
– **Monitorización continua**: Implementar reglas específicas en SIEM para detectar TTPs asociados, como actividad inusual de PowerShell y creación de cuentas privilegiadas.
– **Refuerzo de MFA**: Asegurar que todas las cuentas administrativas utilicen autenticación multifactor.
– **Copias de seguridad**: Mantener backups offline y realizar pruebas periódicas de restauración.
#### Opinión de Expertos
Profesionales como Marta López, CISO en un gran grupo bancario español, advierten: “La explotación de SharePoint demuestra que los atacantes conocen en profundidad las arquitecturas empresariales y buscan maximizar el impacto. La colaboración entre los equipos SOC y los responsables de infraestructura es clave para minimizar la ventana de exposición”.
Por su parte, David García, analista senior de amenazas, destaca: “La disponibilidad de exploits en repositorios públicos hace que la barrera de entrada para estos ataques sea cada vez menor, aumentando el riesgo de ataques masivos.”
#### Implicaciones para Empresas y Usuarios
El ataque de Storm-2603 pone de manifiesto la necesidad urgente de:
– Revisar la **cadena de suministro digital** y la seguridad de las aplicaciones colaborativas.
– Anticipar las exigencias de **NIS2**, que hará obligatoria la notificación de incidentes y la adopción de medidas proactivas en ciberseguridad.
– Concienciar a los usuarios sobre la importancia de reportar anomalías y seguir buenas prácticas en la gestión de la información.
#### Conclusiones
La campaña dirigida por Storm-2603 es un recordatorio del avanzado arsenal técnico de los actores de amenazas estatales. La explotación de SharePoint como vector inicial de ransomware exige una respuesta inmediata por parte de los equipos de ciberseguridad. Solo una combinación de actualización proactiva, monitorización avanzada y colaboración entre departamentos puede reducir el impacto de estos ataques persistentes.
(Fuente: www.darkreading.com)