Una falla de **cPanel** recién revelada, rastreada como **CVE-2026-41940**, está siendo explotada masivamente para irrumpir en sitios web y cifrar datos en ataques de ransomware "Sorry". Esta semana, se lanzó una actualización de emergencia para WHM y **cPanel** para corregir una falla crítica de omisión de autenticación que permite a los atacantes acceder a los paneles de control. WHM y **cPanel** son paneles de control de alojamiento web basados en Linux para la administración de servidores y sitios web. Mientras que WHM proporciona control a nivel de servidor, **cPanel** proporciona acceso de administrador al backend del sitio web, webmail y bases de datos. Poco después de su lanzamiento, se informó que la falla estaba siendo explotada activamente en la naturaleza como un zero-day, con intentos de explotación que datan de finales de febrero. Los organismos de vigilancia de seguridad en Internet informan que al menos 44.000 direcciones IP que ejecutan **cPanel** han sido comprometidas desde entonces en ataques en curso. ## Falla de cPanel Explotada para Ataques de Ransomware Sorry Numerosas fuentes han informado que los atacantes han estado explotando la falla de **cPanel** para irrumpir en servidores y desplegar un cifrador Linux basado en Go para el ransomware "Sorry" [[VirusTotal](https://www.virustotal.com/gui/file/2fc0a056fd4eff5d31d06c103af3298d711f33dbcd5d122cae30b571ac511e5a)]. Ha habido numerosos informes de sitios web afectados por los ataques, incluso en los foros de [BleepingComputer](https://www.bleepingcomputer.com/forums/t/815795/sorry-ransomware/), donde una víctima compartió muestras de los archivos cifrados y el contenido de la nota de rescate. Desde entonces, se han detectado explotaciones generalizadas y ataques de ransomware, con cientos de sitios comprometidos ya indexados en Google.  *Listado de Google de sitios web afectados en ataques de ransomware Sorry. Fuente: BleepingComputer* El cifrador de ransomware Sorry está diseñado específicamente para Linux y agregará la extensión ".sorry" a todos los archivos cifrados.  *Archivos cifrados por el ransomware Sorry. Fuente: diozada en los foros de BleepingComputer* Los informes indican que el ransomware utiliza el cifrador de flujo ChaCha20 para cifrar archivos, con la clave de cifrado protegida mediante una clave pública RSA-2048 incrustada. El experto en ransomware Rivitna dice que la única forma de descifrar estos archivos es obtener la clave privada RSA-2048 correspondiente. "El descifrado es imposible sin una clave privada RSA-2048", publicó Rivitna en los [foros de BleepingComputer](https://www.bleepingcomputer.com/forums/t/815795/sorry-ransomware/?p=5859832). En cada carpeta, se crea una nota de rescate llamada `README.md`, que instruye a la víctima a contactar al actor de la amenaza en Tox para negociar un pago de rescate. La nota de rescate es la misma para cada víctima de esta campaña de ransomware, incluida la ID de Tox "3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724", que se utiliza para contactar al actor de la amenaza.  *Nota de rescate del ransomware Sorry. Fuente: BleepingComputer* Cabe señalar que una campaña anterior utilizó un cifrador HiddenTear para cifrar archivos y agregar la extensión ".sorry". Esta campaña actual utiliza un cifrador diferente y no está relacionada. Se insta a todos los usuarios de **cPanel** y WHM a instalar inmediatamente las [actualizaciones de seguridad disponibles](https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026) para proteger sus sitios web de ataques de ransomware y robo de datos. Los ataques acaban de comenzar, y se anticipa un aumento de la explotación en los próximos días y semanas. ## El 99% de lo que Mythos encontró todavía no tiene parche. La IA encadenó cuatro zero-days en un exploit que eludió los sandboxes del renderizador y del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu Lugar](https://hubs.li/Q04crVgD0)