Oracle niega la brecha mientras un hacker supuestamente filtra las empresas afectadas

Esta semana, un atacante afirmó haber comprometido un componente del servicio en la nube de Oracle. Oracle emitió una negación pública asegurando que ningún servicio se vio afectado. Sin embargo, un actor de amenazas conocido como ‘rose87168’ compartió muestras de datos supuestamente robados de los servidores de Oracle Cloud, y múltiples empresas han confirmado anónimamente su autenticidad, según investigadores de seguridad y medios de comunicación. El hacker afirmó haber accedido a datos de autenticación y contraseñas cifradas de 6 millones de usuarios, citando una vulnerabilidad en Oracle Fusion Middleware 11g (CVE-2021-35587) como vector de ataque.

Evidencias obtenidas a través de Wayback Machine sugieren que el actor de amenazas tuvo en algún momento la capacidad de crear archivos en el servidor "login.us2.oraclecloud.com" de Oracle, incluyendo su dirección de correo electrónico en un archivo públicamente accesible.

A pesar de la firme negativa de Oracle sobre la posible vulneración de sus sistemas Cloud, los datos filtrados incluyen información LDAP precisa, direcciones de correo electrónico y dominios vinculados a numerosas agencias gubernamentales y empresas. El servidor afectado ya se encuentra fuera de línea. Las investigaciones continúan.

VanHelsing: nuevo ransomware multiplataforma emerge como amenaza

Una nueva operación ransomware-as-a-service (RaaS) llamada VanHelsing ha aparecido, dirigida a sistemas Windows, Linux, BSD, ARM y ESXi. Promocionado en foros cibercriminales desde el 7 de marzo, ofrece acceso gratuito a afiliados experimentados y exige un depósito de 5.000 dólares a los nuevos.
Según Check Point y CYFIRMA, VanHelsing es operado por ciberdelincuentes rusos que prohíben ataques en países de la CEI. Los afiliados conservan el 80% de los rescates, gestionados mediante un sistema de depósito en garantía con blockchain. Los archivos de las víctimas son almacenados en los servidores del grupo.
Escrito en C++, VanHelsing utiliza cifrado ChaCha20 y funciones de sigilo. Su sitio en la dark web lista tres víctimas, incluyendo una ciudad de Texas y dos empresas tecnológicas.
Aunque aún inmaduro, el malware evoluciona rápidamente y su alcance lo convierte en una amenaza emergente que merece seguimiento.

Ciberataque bloquea venta de billetes ferroviarios en Ucrania

Un ciberataque a gran escala ha inhabilitado la venta de billetes online de Ukrzaliznytsia, la empresa ferroviaria nacional de Ucrania. El 24 de marzo, la compañía calificó el ataque como “sistemático, complejo y multinivel”.
A pesar de la interrupción, los trenes siguen operando con normalidad gracias a protocolos de respaldo. Se pide a los pasajeros que compren billetes en taquilla o a bordo, y que eviten acudir a las estaciones si su viaje no es inminente.
Ukrzaliznytsia colabora con el departamento cibernético del SBU y CERT-UA para restaurar los servicios.
Con los aeropuertos cerrados por la guerra, el ferrocarril sigue siendo vital para el transporte nacional. Días antes, la infraestructura ferroviaria fue blanco de un ataque ruso. Aun así, el servicio continúa frente a ataques físicos y digitales.

Hackers prorrusos atacan sitios del gobierno belga con DDoS

El grupo de hackers prorruso NoName057 atacó varios sitios del gobierno belga, incluidos MyGov.be y el Parlamento valón. MyGov.be, que ofrece acceso a documentos oficiales, estuvo fuera de servicio parte del día.
El Centro de Ciberseguridad de Bélgica respondió de inmediato. Es la segunda vez que el grupo apunta al país, tras una campaña similar en octubre.
El ataque, aparentemente en protesta por el paquete de ayuda belga de mil millones de euros a Ucrania, consistió en un ataque DDoS que saturó los servidores con tráfico falso.
Si bien no se robaron datos, las autoridades advierten que podrían producirse nuevas interrupciones.

Ciberataque afecta a Astral Foods, principal productor de aves de Sudáfrica

Astral Foods, el mayor productor avícola de Sudáfrica, reportó pérdidas superiores a 1 millón de dólares tras un ciberataque el 16 de marzo.
El incidente provocó retrasos en entregas y procesamiento. La empresa activó protocolos de recuperación y actualmente todos los sistemas están operativos.
No se comprometieron datos sensibles. Se desconoce el tipo de ataque, y ningún grupo de ransomware lo ha reclamado.
El sector agrícola es blanco frecuente de ciberataques por su papel en las cadenas de suministro. Solo en 2023 se registraron más de 160 ataques ransomware al sector alimentario.

Google corrige vulnerabilidad zero-day de Chrome usada en ataques APT

Google lanzó una actualización de emergencia para corregir una vulnerabilidad grave de Chrome (CVE-2025-2783), explotada en ataques dirigidos contra organizaciones rusas.
El fallo afecta a la biblioteca Mojo en Windows y permite evitar protecciones sandbox del navegador. Kaspersky identificó la campaña como “Operación ForumTroll”, enfocada en espionaje.
Las víctimas solo necesitaban hacer clic en un enlace de phishing para ser infectadas. Se sospecha que se usó un segundo exploit para ejecutar código remoto.
Se insta a los usuarios de Chrome y navegadores basados en Chromium como Edge y Brave a actualizar a la versión 134.0.6998.177/.178.

Proveedor de software del NHS multado con £3 millones por fallo de seguridad

El regulador de protección de datos del Reino Unido (ICO) multó con £3 millones a Advanced Computer Software Group por deficiencias de seguridad que permitieron un ataque ransomware en 2022.
Se expusieron datos de 79.404 personas, incluyendo registros médicos y detalles para acceder a domicilios de pacientes vulnerables.
El ataque se facilitó por la ausencia de autenticación multifactor (MFA) en una cuenta de cliente.
Los servicios de NHS 111 y otros sistemas críticos se vieron afectados. El regulador criticó la falta de cobertura completa de MFA como un fallo grave.
La multa fue reducida de £6 millones por la cooperación de la empresa con las autoridades.

INTERPOL arresta a 306 personas en operación contra el cibercrimen en África

INTERPOL anunció el arresto de 306 sospechosos en siete países africanos entre noviembre de 2024 y febrero de 2025 en la operación Red Card contra fraudes digitales.
Se incautaron 1.842 dispositivos y se identificaron más de 5.000 víctimas.
Nigeria lideró con 130 arrestos, incluidos 113 extranjeros vinculados a estafas como casinos online. Algunas personas fueron forzadas a participar, víctimas de trata.
En Sudáfrica, se desmanteló una red de fraude con SIM boxes y se incautaron más de 1.000 tarjetas SIM.
Zambia reportó 14 arrestos relacionados con malware bancario móvil. En Ruanda, 45 personas fueron detenidas por estafas de ingeniería social que causaron pérdidas de más de $300.000.
La operación fue respaldada por el Reino Unido y muestra la creciente cooperación internacional contra el cibercrimen.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.