EncryptHub: nuevo grupo ruso explota la cadena de suministro de Microsoft SQL Server

Tiempo estimado de lectura: 1 minutos, 7 segundos

Investigadores de AhnLab Security Intelligence Center (ASEC) han identificado un grupo de origen ruso al que han denominado EncryptHub, que está explotando vulnerabilidades en Microsoft SQL Server (MS-SQL) para infiltrarse en sistemas corporativos. Una vez dentro, el grupo despliega una compleja cadena de herramientas que combina minería de criptomonedas, robo de credenciales y despliegue de ransomware.

Tácticas y técnicas

Acceso inicial: ataques de fuerza bruta y explotación de servidores MS-SQL expuestos.
Movimiento lateral: uso de herramientas legítimas de administración para evadir detección.
Payload final: instalación de miners para Monero y despliegue de ransomware en entornos críticos.
Exfiltración de datos: robo de credenciales y uso de túneles cifrados para extraer información sensible.

Según ASEC, EncryptHub ha mostrado una notable profesionalización en sus operaciones, reutilizando infraestructuras y compartiendo TTPs con otros grupos de habla rusa. Esto apunta a una posible red de colaboración o ecosistema criminal compartido.

Las intrusiones a través de MS-SQL no son nuevas, pero la explotación sistemática por parte de grupos como EncryptHub evidencia que los servidores mal configurados siguen siendo un vector crítico. El impacto puede variar desde el consumo de recursos por criptominería hasta la pérdida completa de disponibilidad y confidencialidad de sistemas clave por ataques de ransomware.

Recomendaciones

Restringir el acceso remoto a instancias de MS-SQL y segmentar la red.
Aplicar parches de seguridad de manera prioritaria y continua.
Monitorizar actividad sospechosa en procesos de administración de base de datos.
Implementar Threat Intelligence para detectar patrones de ataque asociados a EncryptHub.

La lección es clara: la cadena de suministro y los servicios expuestos en Internet siguen siendo terreno fértil para los atacantes. Una estrategia de defensa debe integrar no solo parches y monitorización, sino también inteligencia de amenazas capaz de correlacionar señales tempranas de campañas como esta.

Más información

The Hacker News – Russian Group ‘EncryptHub’ Exploits Microsoft SQL Servers for Ransomware and Crypto Mining

La entrada EncryptHub: nuevo grupo ruso explota la cadena de suministro de Microsoft SQL Server se publicó primero en Una Al Día.

Artículo de Hispasec publicado en https://unaaldia.hispasec.com/2025/08/encrypthub-nuevo-grupo-ruso-explota-la-cadena-de-suministro-de-microsoft-sql-server.html?utm_source=rss&utm_medium=rss&utm_campaign=encrypthub-nuevo-grupo-ruso-explota-la-cadena-de-suministro-de-microsoft-sql-server

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

EncryptHub: nuevo grupo ruso explota la cadena de suministro de Microsoft SQL Server

Tácticas y técnicas

Recomendaciones

Más información

Contenidos relacionados

Retos del sector UAS sobre tramitación y normativa: normativa base, desafíos y escenario frontera

Certificados EV: el nuevo camuflaje del malware en macOS

Septiembre de 2025: ataques cibernéticos más grandes, ataques de ransomware e violaciones de datos

You missed

Cristina Sancho, nueva Corporate Affairs & Public Relations Manager de Karnov Group AB

David Montoya Medina, catedrático de Derecho del Trabajo, nuevo of counsel de Devesa Abogados

Gabriela Melgarejo se reincorpora a Altra Legal para lanzar el departamento de Tech & Innovation

Bird & Bird asesora a Bpifrance en la ronda de financiación de ARTHEx Biotech para la ampliación de la Serie B por 87 millones de dólares

Entradas recientes

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo

EncryptHub: nuevo grupo ruso explota la cadena de suministro de Microsoft SQL Server

Tácticas y técnicas

Recomendaciones

Más información

Contenidos relacionados

Retos del sector UAS sobre tramitación y normativa: normativa base, desafíos y escenario frontera

Certificados EV: el nuevo camuflaje del malware en macOS

Septiembre de 2025: ataques cibernéticos más grandes, ataques de ransomware e violaciones de datos

You missed

Cristina Sancho, nueva Corporate Affairs & Public Relations Manager de Karnov Group AB

David Montoya Medina, catedrático de Derecho del Trabajo, nuevo of counsel de Devesa Abogados

Gabriela Melgarejo se reincorpora a Altra Legal para lanzar el departamento de Tech & Innovation

Bird & Bird asesora a Bpifrance en la ronda de financiación de ARTHEx Biotech para la ampliación de la Serie B por 87 millones de dólares

¿Todas tus actividades de auditoría en un solo entorno? Prueba AltonaSpain, el gestor de auditoría más completo

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo