Ir al contenido

Storm-2603 desata el ransomware Warlock en SharePoint: máxima alerta de Microsoft

De ciberespionaje a extorsión: cómo un nuevo vector amenaza a empresas de todo tamaño

De ciberespionaje a extorsión: cómo un nuevo vector amenaza a empresas de todo tamaño

Panorama inicial

El 22 de julio de 2025, Microsoft reveló que el grupo Storm-2603 está explotando vulnerabilidades críticas en servidores SharePoint on-premises para cifrar archivos con el ransomware Warlock y exigir rescates en criptomonedas. La campaña marca un giro drástico: los atacantes, antes centrados en espionaje, ahora buscan beneficios económicos directos.

La cadena de ataque paso a paso

  1. Aprovechamiento de vulnerabilidades de ejecución remota de código que permiten tomar control total del servidor.
  2. Implantación de ToolShell, un backdoor que permanece en memoria y crea canales de mando y control.
  3. Escalada y movimiento lateral, con robo de claves de máquina y credenciales para alcanzar otros servicios de la red.
  4. Despliegue de Warlock, cifrado simultáneo de bibliotecas de SharePoint y unidades compartidas, seguido de nota de rescate con un plazo de 72 h.

Sectores y regiones bajo mayor riesgo

  • Gobierno y energía: al menos una agencia de seguridad nuclear estadounidense figura entre las víctimas iniciales.
  • Manufactura y servicios profesionales: entornos que mantienen instancias SharePoint locales por requisitos de privacidad o integraciones legadas.
  • Latinoamérica: muchas pymes aún posponen parches críticos, pese a la rápida adopción de soluciones Microsoft.

Medidas recomendadas de inmediato

  • Aplicar parches en todas las versiones afectadas o aislar los servidores no actualizables.
  • Auditar accesos: revocar cuentas obsoletas y habilitar MFA para administradores.
  • Respaldo offline diario con pruebas de restauración.
  • Herramientas EDR con reglas específicas para detectar ToolShell y Warlock.
  • Plan de respuesta bien definido, incluyendo contactos legales y de seguros cibernéticos.

Implicaciones estratégicas

El giro hacia ransomware evidencia la convergencia entre actores estatales y crimen organizado: alta sofisticación con fines económicos. Las organizaciones que aún dependen de infraestructuras locales deberán replantear su migración a la nube o reforzar drásticamente su ciberseguridad interna.

Protege tu negocio antes de que sea tarde

En www.SiteSupremacy.com auditamos tus servidores SharePoint, implementamos parches críticos y diseñamos estrategias de ciberseguridad a la medida. 

¡Agenda hoy tu diagnóstico gratuito!

¡Empieza hoy!

José Mario Rivera Carranza 24 de julio de 2025
Compartir
Archivar
CVE-2025-53770: el 0-day que sacude a Microsoft SharePoint
Deserialización no autenticada expone a cientos de servidores; aplica el parche de emergencia hoy mismo