Ataques cibernéticos a trusts del NHS explotan vulnerabilidad de Ivanti; se teme compromiso de datos de pacientes

Varios trusts del NHS, incluidos University College London Hospitals y University Hospital Southampton, se han visto afectados por un ciberataque que explotó una falla en el software Ivanti Endpoint Manager Mobile (EPMM). La brecha, descubierta y parcheada el 15 de mayo, podría haber permitido acceso no autorizado a datos altamente sensibles de pacientes mediante ejecución remota de código (RCE).

Los expertos en ciberseguridad que descubrieron la magnitud del incidente lo vinculan a actores maliciosos con sede en China. Advierten que el alcance va más allá del robo de datos, pudiendo afectar sistemas de citas y dispositivos médicos.

Los datos robados incluyen números de teléfono del personal, números IMEI y tokens de autenticación, lo que permitiría a los atacantes un acceso más profundo dentro de las redes del NHS.

NHS England y el Centro Nacional de Ciberseguridad (NCSC) están investigando. NHS England afirma tener alertas de alta gravedad y monitoreo 24/7 para priorizar vulnerabilidades críticas, pero esta brecha es otra llamada urgente de atención.

Violación de datos de Adidas expone información de contacto tras ataque al servicio de atención al cliente

Adidas ha confirmado un ciberataque en el que se robaron datos personales de clientes a través de un proveedor externo de atención al cliente. La brecha expuso “ciertos datos de consumidores”, principalmente datos de contacto de quienes se comunicaron con el soporte. Afortunadamente, no se vieron comprometidas contraseñas ni datos de tarjetas o pagos.

La empresa declaró que actuó rápidamente para contener el incidente y lanzó una investigación interna con expertos en ciberseguridad. Se está informando a las autoridades y a los consumidores afectados conforme a la legislación vigente.

La organización de consumidores Which? instó a Adidas a proporcionar actualizaciones claras y oportunas, y advirtió a los usuarios que vigilen sus cuentas y reportes crediticios. Estafadores podrían aprovechar el incidente mediante correos de phishing, llamadas falsas o mensajes engañosos.

Aunque este ataque no afectó las operaciones principales de Adidas, como sí ocurrió con M&S, Co-op y Harrods, sigue una tendencia creciente de amenazas a minoristas globales.

Chequia culpa a China por ciberataque al Ministerio de Exteriores y convoca al embajador

El gobierno checo ha acusado públicamente a China de un ciberataque patrocinado por el Estado que infiltró el Ministerio de Exteriores y expuso miles de correos electrónicos no clasificados. El ataque, atribuido al grupo chino APT31, habría permitido acceso a comunicaciones diplomáticas entre embajadas checas e instituciones de la UE en 2022, cuando Chequia presidía el Consejo de la UE.

El ministro de Exteriores, Jan Lipavský, condenó el ataque y convocó al embajador chino de inmediato, afirmando: “Debemos defendernos de ciberataques, propaganda y manipulación de la información”.

Es la primera vez que Chequia atribuye formalmente un ciberataque a un Estado. La atribución proviene de una investigación conjunta de sus servicios de inteligencia y la agencia nacional de ciberseguridad NUKIB.

APT31, vinculado al Ministerio de Seguridad del Estado chino, ha sido acusado previamente de atacar la campaña presidencial de Joe Biden. La violación ha provocado duras críticas por parte de la OTAN y la UE.

Grupo ransomware reivindica ataque a Mediclinic y amenaza con filtrar datos de empleados

El grupo de ransomware Everest ha reivindicado un ciberataque contra Mediclinic, proveedor mundial de atención sanitaria con operaciones en Sudáfrica, Namibia, Suiza y Emiratos Árabes Unidos. Los atacantes afirman haber robado 4 GB de documentos internos y datos personales de unos 1.000 empleados, y amenazan con filtrarlos si no se paga un rescate en cinco días.

Mediclinic aún no ha respondido públicamente. La magnitud total no ha sido verificada, pero los expertos advierten que los datos incluyen información interna sensible, lo que pone a los empleados en riesgo de robo de identidad y ataques de phishing.

Everest está activo desde 2021 y vinculado al cartel ruso BlackByte. Ha atacado previamente a Coca-Cola y AT&T, y ha reclamado 248 víctimas desde 2023, según el rastreador Ransomlooker de Cybernews.

Nigeria y Sudáfrica registran aumento de amenazas en línea en el primer trimestre de 2025

Un nuevo informe revela un notable aumento de amenazas en línea en África, con Nigeria y Sudáfrica entre los cinco países más afectados de la región de Medio Oriente, Turquía y África (META). En el primer trimestre de 2025, el 17,5 % de los usuarios nigerianos y un porcentaje similar en Sudáfrica fueron impactados por amenazas web.

El informe resalta riesgos crecientes como ransomware, APTs, violaciones en cadenas de suministro y vulnerabilidades móviles, intensificados por la IA y la explotación del IoT.

A pesar de una prevalencia menor de ransomware en África, la expansión digital de Nigeria y Sudáfrica y su limitada concienciación en ciberseguridad los hacen más vulnerables. Grupos como FunkSec utilizan código generado por IA y modelos de ransomware como servicio (RaaS) para ataques masivos.

Se recomienda implementar defensas por capas, actualizar sistemas y formar equipos con inteligencia de amenazas actualizada.

Ataques ransomware industriales aumentan en el primer trimestre de 2025

Durante el primer trimestre de 2025, los ataques ransomware contra entidades industriales aumentaron a 708, según un nuevo análisis de investigadores de seguridad. Aunque no se identificaron nuevas variantes dirigidas específicamente a sistemas de control industrial (ICS), los atacantes emplearon técnicas persistentes y emergentes, haciendo los ataques más difíciles de detectar y mitigar.

Entre las tácticas se encuentran malware impulsado por IA (como el usado por FunkSec), campañas de extorsión sin cifrado y operaciones de Estados como el uso de ransomware Qilin por Moonstone Sleet. Herramientas como EDRKillshifter de RansomHub evidenciaron sofisticadas técnicas de evasión de endpoints.

La creciente integración entre entornos IT y OT amplificó el impacto, como se vio en las interrupciones de producción en National Presto Industries. Babuk Locker también lanzó afirmaciones falsas de brechas, usando datos reciclados o falsos para presionar a las víctimas.

Los servicios de ciberseguridad OT de Integrity360 ayudan a proteger operaciones industriales, garantizar la resiliencia y mantener la conformidad ante amenazas cambiantes.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.