Storm-1175 explota una vulnerabilidad crítica de GoAnywhere MFT en ataques de ransomware

Un grupo cibercriminal conocido como Storm-1175 ha estado explotando una vulnerabilidad de máxima gravedad en GoAnywhere MFT, CVE-2025-10035, en campañas de ransomware Medusa desde al menos el 11 de septiembre. La falla, causada por una debilidad de deserialización en el License Servlet de Fortra, permite ataques remotos de baja complejidad sin interacción del usuario.

Aunque Fortra publicó un parche el 18 de septiembre, los investigadores identificaron más de 500 instancias expuestas en línea y no está claro cuántas siguen sin actualizarse. Se informó que la vulnerabilidad ya estaba siendo explotada activamente una semana después del parche, con pruebas de uso de día cero desde el 10 de septiembre.

Microsoft confirmó que Storm-1175 explotó la falla para obtener acceso inicial y luego mantuvo la persistencia mediante SimpleHelp y MeshAgent. El grupo realizó reconocimiento, se movió lateralmente con Remote Desktop, exfiltró datos con Rclone y desplegó el ransomware Medusa. Microsoft y Fortra instan a los administradores a actualizar inmediatamente y revisar los registros en busca de signos de compromiso.

Millones de usuarios en riesgo mientras Microsoft pone fin al soporte para Windows 10 la próxima semana

Alrededor de 5 millones de usuarios británicos enfrentan mayores riesgos cibernéticos, ya que Microsoft pondrá fin al soporte para Windows 10 el 14 de octubre, según el grupo de consumidores Which?. De los aproximadamente 21 millones de usuarios estimados en el Reino Unido, uno de cada cuatro planea seguir utilizando el sistema obsoleto, quedando expuestos a malware, virus y estafas. Más de un tercio de quienes no planean tomar medidas tienen más de 55 años.

La medida también contribuirá a aumentar los desechos electrónicos, ya que millones de PC se volverán obsoletos si no pueden ejecutar software más reciente. Microsoft insta a los usuarios a actualizar a Windows 11 cuando sea posible o adquirir una extensión de un año para facilitar la transición.

Yusuf Mehdi, vicepresidente ejecutivo de Microsoft, advirtió que los dispositivos sin soporte serán más vulnerables a amenazas cibernéticas y que algunas aplicaciones podrían dejar de funcionar correctamente. Se insta a los usuarios a revisar sus sistemas de inmediato para evitar exponerse a ataques.

El grupo Clop explota una vulnerabilidad Zero-Day en Oracle EBS para robar datos

El grupo de ransomware Clop ha estado explotando una vulnerabilidad zero-day crítica en Oracle E-Business Suite (EBS) desde principios de agosto, según CrowdStrike. Registrada como CVE-2025-61882, la falla afecta al componente BI Publisher Integration y permite a atacantes no autenticados ejecutar código remoto en sistemas vulnerables mediante ataques de baja complejidad que no requieren interacción del usuario. Oracle publicó un parche durante el fin de semana.

Los investigadores descubrieron que el error forma parte de una cadena de vulnerabilidades que permite la ejecución remota con una sola solicitud HTTP. El exploit fue filtrado originalmente en línea en mayo por el grupo Scattered Lapsus$ Hunters.

CrowdStrike confirmó que Clop ha estado utilizando esta vulnerabilidad de día cero para robar documentos sensibles, con la primera explotación registrada el 9 de agosto. Los analistas creen que GRACEFUL SPIDER probablemente esté implicado, pero advierten que otros grupos también podrían estar explotando la falla. Las investigaciones continúan.

Salesforce se niega a pagar un rescate tras masivos robos de datos

Salesforce ha confirmado que no negociará ni pagará ningún rescate a los actores detrás de las campañas de robo de datos a gran escala que afectaron a sus clientes. En un correo a los clientes, la empresa citó “inteligencia de amenazas creíble” que indicaba que los atacantes planeaban filtrar los datos robados. El grupo Scattered Lapsus$ Hunters lanzó un sitio de filtración de datos para extorsionar a 39 grandes organizaciones, incluyendo FedEx, Disney, Marriott, Google, Cisco e IKEA, afirmando poseer casi 1.000 millones de registros.

Los datos robados provienen de dos campañas en 2025. La primera utilizó ingeniería social para engañar a empleados y conectar aplicaciones OAuth maliciosas a instancias de Salesforce. La segunda, en agosto, implicó el uso de tokens OAuth robados de SalesLoft para exfiltrar datos CRM de cientos de empresas, incluidas importantes compañías tecnológicas.

La negativa de Salesforce se produce cuando el sitio de extorsión ha sido dado de baja, con indicios que apuntan a una posible intervención de las fuerzas del orden. Las investigaciones siguen en curso.

Los ciberataques a las cadenas de suministro aumentan en medio de grandes interrupciones corporativas

Casi un tercio de los líderes empresariales ha informado de un aumento en los ciberataques a sus cadenas de suministro durante los últimos seis meses, según una encuesta del Chartered Institute of Procurement and Supply (Cips). Las amenazas cibernéticas han escalado rápidamente en la lista de preocupaciones de los responsables de adquisiciones en sectores como la manufactura, la energía y la tecnología, rivalizando con la inestabilidad geopolítica y las disputas arancelarias como principales riesgos empresariales.

Incidentes de alto perfil han puesto de relieve el peligro. El cierre de un mes de Jaguar Land Rover tras un ataque cibernético costó aproximadamente 120 millones de libras en beneficios, mientras que las brechas recientes en Marks & Spencer y Co-op provocaron pérdidas de decenas de millones. En Japón, Asahi se vio obligada a detener la producción en 30 plantas debido a una interrupción de sistemas.

La encuesta de Cips reveló que el 29% de los directivos informó de ataques a empresas dentro de sus cadenas de suministro. La organización instó a las empresas a reforzar sus defensas digitales para proteger sus operaciones y mantener la confianza de los clientes en redes comerciales globales cada vez más interconectadas.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.