En TecnetOne queremos mantenerte informado sobre las amenazas más recientes que pueden poner en riesgo la continuidad de tu negocio. Hoy te contamos sobre una nueva ola de ataques que están aprovechando vulnerabilidades en Microsoft SharePoint, y que ya han afectado a más de 148 organizaciones en todo el mundo.
Lo más preocupante es que a esta campaña se han sumado grupos de ransomware, lo que eleva aún más el nivel de peligro para las empresas y entidades públicas. Uno de los protagonistas de estos ataques es el ransomware 4L4MD4R, una variante descubierta hace apenas unos días y que está causando estragos.
A continuación, te explicamos en detalle cómo funciona esta amenaza, qué organizaciones ya han sido víctimas y, sobre todo, qué puedes hacer para protegerte.
Durante las últimas semanas, investigadores de Palo Alto Networks Unit 42 han detectado una cadena de explotación de vulnerabilidades en SharePoint conocida como ToolShell. Esta cadena ha sido aprovechada por distintos actores maliciosos para comprometer servidores y, en muchos casos, desplegar ransomware.
Lo alarmante es que esta no es una campaña cualquiera: según Microsoft y Google, hay grupos de hackers respaldados por el Estado chino detrás de estos ataques, incluidos Linen Typhoon, Violet Typhoon y Storm-2603.
El impacto ya es global:
En otras palabras: nadie está a salvo si no actúa rápido.
El 27 de julio, los investigadores detectaron un cargador de malware que descargaba y ejecutaba el ransomware 4L4MD4R desde un servidor comprometido.
Su funcionamiento es tanto sofisticado como peligroso:
Además, se ha comprobado que intenta deshabilitar la monitorización de seguridad del dispositivo, lo que lo hace aún más peligroso porque puede pasar desapercibido durante más tiempo.
También podría interesarte: Ciberataques a SharePoint Vinculados a Hackers Chinos, según Microsoft
Los ataques de ToolShell se originaron aprovechando dos vulnerabilidades críticas:
Estas brechas fueron explotadas como zero-days —fallos desconocidos para los desarrolladores al momento del ataque—, lo que permitió a los ciberdelincuentes infiltrarse en sistemas que, en teoría, estaban actualizados.
Posteriormente, Microsoft lanzó los parches correspondientes en su Patch Tuesday de julio 2025, asignando nuevos identificadores:
Sin embargo, la actualización llegó tarde para muchas organizaciones que ya habían sido comprometidas. Según la firma holandesa Eye Security, al menos 400 servidores fueron infectados, afectando a más de 148 empresas.
4L4MD4R decryption instructions (Fuente: BLEEPINGCOMPUTER)
Aunque al inicio se hablaba de unas 54 organizaciones comprometidas, las investigaciones recientes muestran que el impacto es mucho mayor. Eye Security confirmó que los atacantes han estado presentes durante periodos prolongados en las redes de muchas víctimas, lo que significa que han podido robar información sensible además de desplegar ransomware.
Incluso la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ha catalogado una de las vulnerabilidades explotadas como de alto riesgo, ordenando a las agencias federales proteger sus sistemas en menos de 24 horas.
Esto nos da una idea clara: no se trata de un ataque oportunista, sino de una campaña organizada, bien financiada y con objetivos de gran valor estratégico.
Aunque puede parecer que este tipo de ataques solo afecta a grandes organismos, la realidad es que cualquier empresa que use Microsoft SharePoint está en riesgo, especialmente si sus sistemas no están debidamente actualizados o carecen de medidas adicionales de protección.
Las consecuencias de un ataque de este tipo pueden ser devastadoras:
En resumen: no es una amenaza hipotética; es una realidad que ya ha golpeado a cientos de organizaciones como la tuya.
En TecnetOne, te recomendamos actuar de inmediato con estas medidas:
Asegúrate de que tus servidores SharePoint estén actualizados con los parches de julio 2025.
Sophos Intercept X, por ejemplo, integra inteligencia artificial y detección de comportamiento para identificar y bloquear amenazas incluso desconocidas.
Implementa sistemas de monitoreo que detecten actividades inusuales y posibles intentos de explotación.
Aplica el principio de mínimo privilegio: cada usuario debe tener solo los permisos que necesita.
Tener un protocolo claro para actuar frente a un ataque puede reducir el impacto y acelerar la recuperación.
Asegúrate de que los backups estén desconectados de la red principal para evitar que también sean cifrados por el ransomware.
Conoce más: Ransomware NoName Usa el Malware RansomHub en Ataques Recientes
Los ataques contra servidores Microsoft SharePoint son un recordatorio de que la ciberseguridad no puede dejarse al azar. Hoy más que nunca necesitas soluciones confiables, actualizadas y respaldadas por expertos.
En TecnetOne estamos aquí para ayudarte a implementar las mejores prácticas y soluciones de seguridad, incluyendo Sophos Endpoint e Intercept X, con las que podrás reforzar tu infraestructura y blindar tu organización frente a amenazas como 4L4MD4R.
La clave está en no esperar a ser víctima. Mientras más pronto actúes, más protegida estará tu empresa frente a campañas cada vez más sofisticadas y dañinas.