Ransomware Ataca Servidores Microsoft SharePoint: Lo que Debes Saber

En TecnetOne queremos mantenerte informado sobre las amenazas más recientes que pueden poner en riesgo la continuidad de tu negocio. Hoy te contamos sobre una nueva ola de ataques que están aprovechando vulnerabilidades en Microsoft SharePoint, y que ya han afectado a más de 148 organizaciones en todo el mundo.

Lo más preocupante es que a esta campaña se han sumado grupos de ransomware, lo que eleva aún más el nivel de peligro para las empresas y entidades públicas. Uno de los protagonistas de estos ataques es el ransomware 4L4MD4R, una variante descubierta hace apenas unos días y que está causando estragos.

A continuación, te explicamos en detalle cómo funciona esta amenaza, qué organizaciones ya han sido víctimas y, sobre todo, qué puedes hacer para protegerte.

¿Qué está pasando con Microsoft SharePoint?

Durante las últimas semanas, investigadores de Palo Alto Networks Unit 42 han detectado una cadena de explotación de vulnerabilidades en SharePoint conocida como ToolShell. Esta cadena ha sido aprovechada por distintos actores maliciosos para comprometer servidores y, en muchos casos, desplegar ransomware.

Lo alarmante es que esta no es una campaña cualquiera: según Microsoft y Google, hay grupos de hackers respaldados por el Estado chino detrás de estos ataques, incluidos Linen Typhoon, Violet Typhoon y Storm-2603.

El impacto ya es global:

1. En Estados Unidos, organismos como la Administración Nacional de Seguridad Nuclear y el Departamento de Educación han sido atacados.
   
   
   
2. En Europa y Oriente Medio, también se han visto comprometidas redes gubernamentales.
   
   
   
3. Empresas del sector tecnológico, telecomunicaciones y multinacionales han sido blanco desde principios de julio.

En otras palabras: nadie está a salvo si no actúa rápido.

El ransomware 4L4MD4R: cómo funciona

El 27 de julio, los investigadores detectaron un cargador de malware que descargaba y ejecutaba el ransomware 4L4MD4R desde un servidor comprometido.

Su funcionamiento es tanto sofisticado como peligroso:

1. Está desarrollado en GoLang y empaquetado con UPX para dificultar su detección.
   
   
2. Utiliza cifrado AES en memoria, cargando el archivo ejecutable (PE) sin dejar rastros fáciles de detectar.
   
   
3. Una vez activo, cifra todos los archivos del sistema infectado.
   
   
4. Exige un rescate de 0,005 Bitcoin (aproximadamente unos cientos de dólares, aunque la cifra puede variar con el mercado).
   
   
5. Genera notas de rescate y listas con los archivos cifrados, presionando a la víctima para que pague.

Además, se ha comprobado que intenta deshabilitar la monitorización de seguridad del dispositivo, lo que lo hace aún más peligroso porque puede pasar desapercibido durante más tiempo.

También podría interesarte: Ciberataques a SharePoint Vinculados a Hackers Chinos, según Microsoft

Vulnerabilidades implicadas: el talón de Aquiles

Los ataques de ToolShell se originaron aprovechando dos vulnerabilidades críticas:

1. CVE-2025-49706
2. CVE-2025-49704

Estas brechas fueron explotadas como zero-days —fallos desconocidos para los desarrolladores al momento del ataque—, lo que permitió a los ciberdelincuentes infiltrarse en sistemas que, en teoría, estaban actualizados.

Posteriormente, Microsoft lanzó los parches correspondientes en su Patch Tuesday de julio 2025, asignando nuevos identificadores:

1. CVE-2025-53770
2. CVE-2025-53771

Sin embargo, la actualización llegó tarde para muchas organizaciones que ya habían sido comprometidas. Según la firma holandesa Eye Security, al menos 400 servidores fueron infectados, afectando a más de 148 empresas.

4L4MD4R decryption instructions (Fuente: BLEEPINGCOMPUTER)

La magnitud real del ataque

Aunque al inicio se hablaba de unas 54 organizaciones comprometidas, las investigaciones recientes muestran que el impacto es mucho mayor. Eye Security confirmó que los atacantes han estado presentes durante periodos prolongados en las redes de muchas víctimas, lo que significa que han podido robar información sensible además de desplegar ransomware.

Incluso la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ha catalogado una de las vulnerabilidades explotadas como de alto riesgo, ordenando a las agencias federales proteger sus sistemas en menos de 24 horas.

Esto nos da una idea clara: no se trata de un ataque oportunista, sino de una campaña organizada, bien financiada y con objetivos de gran valor estratégico.

¿Qué significa esto para tu empresa?

Aunque puede parecer que este tipo de ataques solo afecta a grandes organismos, la realidad es que cualquier empresa que use Microsoft SharePoint está en riesgo, especialmente si sus sistemas no están debidamente actualizados o carecen de medidas adicionales de protección.

Las consecuencias de un ataque de este tipo pueden ser devastadoras:

1. Pérdida de datos críticos: al cifrar archivos esenciales para tu negocio.
   
   
2. Interrupción de la operativa: quedarte sin acceso a tus sistemas durante horas o incluso días.
   
   
3. Impacto financiero: desde el pago de rescates hasta las multas regulatorias y el coste de la recuperación.
   
   
4. Daño reputacional: la confianza de tus clientes puede verse seriamente afectada.

En resumen: no es una amenaza hipotética; es una realidad que ya ha golpeado a cientos de organizaciones como la tuya.

Cómo protegerte frente a estas amenazas

En TecnetOne, te recomendamos actuar de inmediato con estas medidas:

Aplica los parches de Microsoft sin demora

Asegúrate de que tus servidores SharePoint estén actualizados con los parches de julio 2025.

Refuerza tu seguridad con soluciones de detección avanzada

Sophos Intercept X, por ejemplo, integra inteligencia artificial y detección de comportamiento para identificar y bloquear amenazas incluso desconocidas.

Monitorea constantemente tu infraestructura

Implementa sistemas de monitoreo que detecten actividades inusuales y posibles intentos de explotación.

Restringe privilegios y accesos

Aplica el principio de mínimo privilegio: cada usuario debe tener solo los permisos que necesita.

Implementa planes de respuesta ante incidentes

Tener un protocolo claro para actuar frente a un ataque puede reducir el impacto y acelerar la recuperación.

Realiza copias de seguridad seguras y periódicas

Asegúrate de que los backups estén desconectados de la red principal para evitar que también sean cifrados por el ransomware.

Conoce más: Ransomware NoName Usa el Malware RansomHub en Ataques Recientes

Conclusión: tu mejor defensa es la prevención

Los ataques contra servidores Microsoft SharePoint son un recordatorio de que la ciberseguridad no puede dejarse al azar. Hoy más que nunca necesitas soluciones confiables, actualizadas y respaldadas por expertos.

En TecnetOne estamos aquí para ayudarte a implementar las mejores prácticas y soluciones de seguridad, incluyendo Sophos Endpoint e Intercept X, con las que podrás reforzar tu infraestructura y blindar tu organización frente a amenazas como 4L4MD4R.

La clave está en no esperar a ser víctima. Mientras más pronto actúes, más protegida estará tu empresa frente a campañas cada vez más sofisticadas y dañinas.