Content 

01. News Bites
  •  El Reino Unido planea prohibir los pagos de rescates en el sector público 
  •  La vulnerabilidad zero-day en SharePoint afecta a más de 400 organizaciones
  •  La violación a la agencia nuclear de EE.UU. evidencia el impacto de SharePoint 
  •  APT41 ataca a empresa de TI africana en una expansión de espionaje cibernético
  •  Proveedor sanitario suizo AMEOS sufre una violación de datos  

02. Conclusion

Quick News Bites

El Reino Unido planea prohibir los pagos de rescates en el sector público

El gobierno británico se dispone a prohibir que las organizaciones del sector público y las infraestructuras críticas paguen rescates tras sufrir ciberataques, con el objetivo de desmantelar el modelo de negocio que impulsa el ransomware. La legislación propuesta se aplicaría a escuelas, ayuntamientos y al NHS. El Ministro de Seguridad Dan Jarvis declaró que el Reino Unido está “decidido a destruir el modelo empresarial de los ciberdelincuentes” y proteger los servicios esenciales.
Las empresas que no estén cubiertas por la prohibición deberán notificar a las autoridades si planean pagar un rescate, buscando orientación para no violar sanciones. También se está desarrollando un sistema obligatorio de notificación para ayudar a las fuerzas del orden a rastrear a los atacantes. La medida sigue a una consulta pública realizada en enero y llega en un momento de creciente amenaza de ransomware. Entre las víctimas destacadas se encuentran el NHS, la Biblioteca Británica y, más recientemente, Marks & Spencer. Co-op y Harrods también han sufrido incidentes.

La vulnerabilidad zero-day en SharePoint afecta a más de 400 organizaciones


Investigadores de seguridad han revelado que más de 400 organizaciones han sido comprometidas mediante una vulnerabilidad zero-day en Microsoft SharePoint, marcando una escalada significativa desde que se informó por primera vez del fallo la semana pasada. El error, identificado como CVE-2025-53770, afecta a las versiones autohospedadas de SharePoint y permite la ejecución remota de código, otorgando a los atacantes acceso a archivos internos y redes más amplias.
La empresa holandesa Eye Security, que descubrió la vulnerabilidad, informa que ya se han identificado cientos de sistemas comprometidos. Los investigadores creen que el fallo podría estar siendo explotado desde el 7 de julio. Microsoft y Google han atribuido los ataques a grupos respaldados por el gobierno chino, aunque Pekín ha negado su implicación. Con miles de servidores potencialmente expuestos, los expertos advierten que aplicar el parche no es suficiente: se recomienda realizar inspecciones completas de los sistemas.
Lee el aviso completo: https://insights.integrity360.com/es/threat-advisories/vulnerabilit%C3%A0-critica-in-sharepoint-cve-2025-53770-guida-e-mitigazione

La violación a la agencia nuclear de EE.UU. evidencia el impacto de SharePoint


La red de la Administración Nacional de Seguridad Nuclear (NNSA) de EE.UU. fue comprometida mediante la vulnerabilidad zero-day de Microsoft SharePoint, recientemente parcheada. La NNSA es responsable de la seguridad del arsenal nuclear estadounidense y de la gestión de emergencias radiológicas.
Un portavoz del Departamento de Energía confirmó el ataque, señalando que el impacto fue limitado gracias al uso generalizado de los servicios en la nube de Microsoft 365. Los sistemas afectados están siendo restaurados y no hay indicios de acceso a datos clasificados.
La campaña de ataques, conocida como ToolShell (CVE-2025-53770), ha afectado al menos a 148 organizaciones y más de 400 servidores, incluyendo objetivos en Europa y Oriente Medio. Microsoft y Google han atribuido la campaña a múltiples grupos de amenazas respaldados por China. La agencia estadounidense CISA ha ordenado actualizaciones urgentes en todos los sistemas federales. La situación sigue evolucionando mientras se descubren más compromisos en todo el mundo.

APT41 ataca a empresa de TI africana en una expansión de espionaje cibernético


El grupo APT41, vinculado al gobierno chino, ha lanzado un ataque altamente dirigido contra un proveedor de servicios de TI gubernamentales en África, marcando una rara incursión fuera de su foco habitual en EE.UU. y Asia. Investigadores de Kaspersky descubrieron la violación, destacando que los atacantes usaron malware adaptado con detalles específicos de la infraestructura de la víctima, incluyendo direcciones IP internas y servicios proxy. Incluso utilizaron un servidor SharePoint de la propia red de la víctima como centro de comando.
El ataque empleó tácticas comunes de APT41: recolección de credenciales con Mimikatz, exfiltración furtiva de datos con herramientas como RawCopy y Pillager, y acceso persistente con Cobalt Strike y web shells como Neo-reGeorg. El uso de herramientas legítimas como Impacket complicó aún más la detección.
APT41, también conocido como Wicked Panda o Brass Typhoon, está activo desde al menos 2012 y combina el espionaje estatal con el cibercrimen con fines financieros. El ataque subraya tanto la evolución del grupo como el aumento del riesgo de cibercrimen en África.

Proveedor sanitario suizo AMEOS sufre una violación de datos


El grupo AMEOS, una de las mayores redes privadas de salud de Europa Central, ha confirmado una violación de datos que podría haber expuesto información sensible de pacientes, empleados y socios. La organización, con sede en Zúrich, opera más de 100 hospitales, clínicas y centros de atención en Suiza, Alemania y Austria, y emplea a unas 18.000 personas.
En una declaración emitida conforme al artículo 34 del RGPD, AMEOS afirmó que actores externos obtuvieron acceso no autorizado a sus sistemas de TI, a pesar de contar con amplias medidas de seguridad. La organización advirtió que los datos robados podrían ser mal utilizados o compartidos en línea, aunque por ahora no hay pruebas de su divulgación.
AMEOS desconectó todos los sistemas y redes, y contrató expertos forenses externos para apoyar la investigación. Las autoridades correspondientes han sido notificadas y se ha presentado una denuncia penal.
Se recomienda a pacientes y socios que permanezcan atentos ante posibles intentos de phishing o fraude. AMEOS continúa evaluando el impacto y se ha comprometido a reforzar su ciberseguridad.

Closing Summary

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

Disclaimer

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.