¿Tu web amaneció con una nota de rescate? Lo que tienes que saber sobre el ataque de Ransomware a WHM

A finales de abril de 2026, se detecto una campaña de ransomware altamente automatizada que ha comenzado a explotar vulnerabilidades críticas en múltiples versiones de cPanel/WHM. Lo que caracteriza este ataque no es el secuestro de la información, sino la eliminación total de todos los archivos del hosting afectado. Dicha vulnerabilidad se ha identificado como omisión de autenticación en cPanel y WHM, catalogada como CVE-2026-41940 con una puntuación de severidad de 9.8/10 (CVSS).

Fecha de divulgación: 28 de abril de 2026
Tipo: Bypass de autenticación en rutas de login
Alcance: Afecta a todas las versiones soportadas posteriores a 11.40
Impacto: Permite acceso administrativo sin credenciales válidas

¿Cómo funciona el ataque?

El fallo reside en un defecto lógico en el mecanismo de carga y guardado de sesiones durante el flujo de autenticación. Aunque no se han divulgado detalles técnicos completos para evitar su explotación masiva, se sabe que:

• Un atacante podría inyectar tokens de seguridad maliciosos mediante payloads con saltos de línea.
• Permite eludir completamente el proceso de login de cPanel/WHM
• Otorgar acceso root o administrativo al panel de control.

El patrón de ataque reportado es devastador. Los atacantes logran infiltrarse en el panel de gestión y, en lugar de un cifrado lento, optan por la destrucción masiva de directorios y bases de datos. Este método es mucho más rápido y difícil de detener en tiempo real.
Al finalizar el borrado, el servidor queda reducido a una simple nota de rescate que exige un pago de 0.1 BTC.

to recover your files, kindly send 0.1 BTC to bc1q9nh4revv6yqhj2gc5usncrpsfnh7ypwr9h0sp2 and tweet ty15b6TOTuBuzUhfypJeagHl4e2sAs26, then we will help u <3

Para asegurar su impunidad y borrar sus huellas, los criminales ejecutan rutinas de limpieza que eliminan el historial de comandos y
los logs de acceso.

Este incidente ha puesto de manifiesto que confiar únicamente en la seguridad a nivel de aplicación es insuficiente. Independientemente de si tu sitio web está construido con tecnologías modernas o sistemas heredados, la vulnerabilidad en la capa de administración permite a los atacantes saltarse todas las protecciones frontales. La sofisticación del ataque sugiere el uso de vulnerabilidades de «día cero» o fallos en la integración de servicios de terceros que, al ser explotados de forma masiva,pueden derribar miles de sitios web en una sola jornada.

No se trata solo de un problema de software desactualizado, sino de un cambio en la táctica de los grupos cibercriminales, quienes ahora
buscan la máxima destrucción con el mínimo rastro. Para cualquier administrador de sistemas, la prioridad actual no debe ser solo la
restauración de servicios, sino la auditoría profunda de las credenciales y el endurecimiento de las capas de acceso al servidor.

No esta por demás decirlo, NO SE DEBE PAGAR ningun rescate, dicha opción no garantiza la recuperación de la información y por el contrario, incentiva la evolución de estas herramientas de destrucción masiva.

Actualiza la versión de CPanel a la última versión segura, cPanel ha lanzado actualizaciones de emergencia para las siguientes versiones:

• 11.86.0.41
• 11.110.0.97
• 11.118.0.63
• 11.126.0.54
• 11.130.0.19
• 11.132.0.29
• 11.136.0.5
• 11.134.0.20
• WP Squared: 136.1.7

Si tienen un backup de tu información restaura no sin antes cambiar todas las credenciales de acceso. Si no sabes como, contacta a tu servicio de Soporte Tecnico para que realicen una auditoria completa antes de restaurar tu información para cerciorarse de que no dejaron algun script malicioso o cronjob programado, claves SSH, etc. Si bien los reportes indican que el ransomware se limita a borrar toda la información, no esta por demas asegurarse de que no dejaron ningun regalito.

En fin, sigue los pasos que salen en el boletín de seguridad oficial de cPanel:

https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026

Para protegerte y minimizar el impacto de futuros ataques, considera aplicar:

• Backups Inmutables y Externos: No guardes tus respaldos en el mismo servidor ni bajo la misma cuenta de cPanel. Utiliza servicios de almacenamiento en la nube externos (como AWS S3 o Google Cloud Storage) con políticas de «bloqueo de objetos» para que ni siquiera un administrador pueda borrarlos por un tiempo determinado.

• Autenticación Multifactor (2FA) Obligatoria: Activa el 2FA no solo para el panel de cPanel, sino también para el área de cliente de tu proveedor de hosting. Esto detiene la mayoría de los ataques basados en el robo de sesiones o contraseñas.

• Restricción de Acceso por IP: Si tienes una IP fija, restringe el acceso al puerto de administración (2083/2087) solo a tu dirección.

• Monitoreo de Integridad de Archivos (FIM): Implementa herramientas que te avisen en tiempo real si archivos críticos del sistema o de tu aplicación son modificados o eliminados inesperadamente.

• Auditoría de API Tokens: Revisa en WHM/cPanel si existen tokens de API creados que no reconozcas. Los atacantes suelen crearlos para mantener una «puerta trasera» incluso después de que cambies tu contraseña.

Hoy no hay enjoy!!! 🤬