Aumentan los Escaneos Contra MOVEit Transfer: ¿Se Prepara una Nueva Ola de Explotaciones Masivas?

Introducción

En los últimos días, la comunidad de ciberseguridad ha sido testigo de un repunte significativo en la actividad de exploración y escaneo contra sistemas MOVEit Transfer. Según la firma de threat intelligence GreyNoise, desde el 27 de mayo de 2025 se ha detectado una “notable oleada” de escaneos dirigidos a la infraestructura de este popular software de transferencia gestionada de archivos. Este incremento sugiere que los actores de amenazas están en fase de reconocimiento, posiblemente preparando el terreno para una nueva campaña de explotación masiva o buscando identificar sistemas que aún permanezcan vulnerables.

Contexto del Incidente

MOVEit Transfer, desarrollado por Progress Software, es una solución ampliamente adoptada en sectores críticos, incluyendo administraciones públicas, banca, sanidad y grandes empresas, para el intercambio seguro de información sensible. A lo largo de 2023 y 2024, la plataforma ha estado en el punto de mira tras varias vulnerabilidades críticas (como la explotación de la CVE-2023-34362), que permitieron a grupos de ransomware y cibercriminales acceder a datos confidenciales y lanzar ataques de extorsión a escala global.

El repunte de escaneos registrado por GreyNoise coincide con el patrón observado en incidentes previos: los atacantes buscan identificar instancias expuestas, especialmente aquellas que no han aplicado los últimos parches de seguridad. En campañas anteriores, la explotación de MOVEit Transfer derivó en brechas que afectaron a miles de organizaciones y expusieron información protegida bajo regulaciones como el GDPR y la NIS2.

Detalles Técnicos

Según los datos de GreyNoise, los escaneos recientes emplean técnicas automatizadas para detectar endpoints MOVEit Transfer accesibles a través de los puertos habituales (443/TCP para HTTPS y 80/TCP para HTTP) y rutas asociadas a la API y al portal web de la solución. Los actores maliciosos utilizan scripts personalizados y herramientas como Nmap, Masscan y módulos específicos de Metasploit Framework para mapear el alcance de los sistemas potencialmente vulnerables.

Aunque GreyNoise no ha confirmado la explotación activa de nuevas vulnerabilidades, la historia reciente de MOVEit Transfer sugiere que los atacantes podrían estar buscando versiones desactualizadas susceptibles a fallos como:

– **CVE-2023-34362**: SQL injection en el endpoint /moveitapi/ que permite ejecución remota de código.
– **CVE-2023-35036 y CVE-2023-35708**: Otras vulnerabilidades críticas que afectan a versiones previas a la 2023.0.3.

La TTP observada se alinea con técnicas MITRE ATT&CK como Reconnaissance (T1595 – Active Scanning), Initial Access (T1190 – Exploit Public-Facing Application) y Collection (T1119 – Automated Collection). Los indicadores de compromiso (IoC) identificados incluyen patrones de tráfico inusual, solicitudes repetidas a endpoints específicos y fingerprints de herramientas de escaneo ampliamente utilizadas en campañas previas.

Impacto y Riesgos

El impacto potencial de una nueva ola de explotaciones en MOVEit Transfer es considerable. En incidentes anteriores, el compromiso de esta plataforma resultó en:

– Exfiltración de datos personales, financieros y de propiedad intelectual.
– Extorsión mediante ransomware y amenazas de filtración pública.
– Multas regulatorias asociadas a la violación del GDPR (hasta un 4% de la facturación anual global).
– Pérdidas económicas directas e indirectas, que en 2023 se estimaron en más de 200 millones de dólares para organizaciones afectadas por la brecha de MOVEit.

Las organizaciones que aún operan versiones no parcheadas de MOVEit Transfer están especialmente expuestas a compromisos de alto impacto, incluidos ataques de cadena de suministro y movimientos laterales dentro de la infraestructura.

Medidas de Mitigación y Recomendaciones

Ante la escalada de actividad hostil, se recomienda a los responsables de ciberseguridad:

– **Actualizar de inmediato** a la última versión de MOVEit Transfer (consultar el advisory oficial de Progress Software).
– Monitorizar logs y tráfico en busca de patrones de escaneo y actividad sospechosa.
– Implementar reglas IDS/IPS específicas para bloquear intentos de enumeración y explotación conocidos.
– Restringir el acceso a la interfaz de administración a rangos IP de confianza y segmentar la infraestructura.
– Realizar análisis de vulnerabilidades periódicos y pruebas de penetración centradas en servicios expuestos.
– Revisar la configuración de backup y planes de recuperación ante incidentes.

Opinión de Expertos

Analistas SOC y responsables de Red Team coinciden en señalar que el ciclo de explotación de soluciones de transferencia gestionada como MOVEit no ha terminado. “El aumento de escaneos suele ser el preludio de campañas de explotación masiva, especialmente cuando existen exploits públicos y módulos en frameworks como Metasploit o Cobalt Strike”, apunta un consultor de ciberseguridad de una Big Four. La detección temprana y la aplicación proactiva de parches son, según los expertos, la mejor defensa frente a estas amenazas.

Implicaciones para Empresas y Usuarios

Para las empresas, la exposición de datos gestionados a través de MOVEit Transfer puede derivar en brechas legales, daños reputacionales y sanciones económicas severas bajo el marco del GDPR y la NIS2. Los usuarios finales también se ven afectados, ya que sus datos personales pueden ser objeto de extorsión, fraude o venta en mercados clandestinos.

Conclusiones

La intensificación de los escaneos contra MOVEit Transfer es una señal clara de que los actores de amenazas mantienen su interés en esta plataforma crítica. Ante la posibilidad de una nueva campaña de explotación masiva, los equipos de ciberseguridad deben reforzar la vigilancia, priorizar la gestión de vulnerabilidades y actualizar sus estrategias de defensa para mitigar los riesgos asociados.

(Fuente: feeds.feedburner.com)