Ransomware en Aumento: Sophos Rastreó Dos Campañas Usando Bombardeo de Correos y Vishing en Microsoft Teams

Diego Cortes R. martes, enero 21, 2025Compartir:

En los últimos años, las campañas de ransomware han aumentado en sofisticación y diversidad. Hoy en día, los atacantes emplean una combinación de técnicas, tanto de ingeniería social como de explotación de herramientas legítimas, para eludir las medidas de seguridad tradicionales y comprometer sistemas corporativos. Un reciente informe de Sophos MDR revela el uso de tácticas como el bombardeo masivo de correos electrónicos y el vishing a través de Microsoft Teams para distribuir ransomware. Esta tendencia resalta cómo los ciberdelincuentes se están adaptando a las tecnologías actuales y usando métodos cada vez más complejos.

¿En qué consisten estas campañas de ransomware?

Sophos MDR ha estado rastreando dos campañas activas de ransomware que utilizan técnicas muy particulares para comprometer redes corporativas. La clave de estas tácticas radica en la manipulación de canales legítimos de comunicación, como el correo electrónico y plataformas de colaboración como Microsoft Teams.

1. Bombardeo de Correos Electrónicos (Email Bombing)

El primer método destacado por Sophos es el bombardeo de correos electrónicos. En este tipo de ataque, los atacantes envían grandes volúmenes de correos electrónicos a las bandejas de entrada de las víctimas en un corto período de tiempo. En algunos casos, hasta 3,000 correos son enviados en menos de una hora. Este bombardeo genera una saturación de la bandeja de entrada, lo que no solo crea una sensación de urgencia, sino que también facilita que los atacantes logren que los usuarios caigan en trampas de phishing. Estos correos suelen contener archivos maliciosos, como adjuntos ZIP o enlaces a sitios comprometidos.

La técnica de bombardeo de correos es particularmente eficaz para engañar a los usuarios desprevenidos, ya que en ocasiones se presenta como un problema urgente, como un supuesto paquete perdido o una actualización crítica de software. Al abrir el archivo adjunto o hacer clic en el enlace, los usuarios pueden descargar y ejecutar el ransomware, lo que da acceso a los atacantes a los sistemas internos.

2. Vishing a través de Microsoft Teams

Otra táctica utilizada por los atacantes es el vishing (phishing por voz), pero a través de la plataforma de colaboración Microsoft Teams. En este caso, los atacantes se hacen pasar por soporte técnico o personal autorizado de la empresa para contactar a los empleados a través de mensajes directos o llamadas en Teams. Su objetivo es convencer a las víctimas de que descarguen software de acceso remoto, como Quick Assist, o que compartan su pantalla. De esta manera, los atacantes pueden tener control total del dispositivo afectado y continuar con la instalación de malware o ransomware.

Esta técnica es particularmente peligrosa porque Microsoft Teams es una herramienta legítima de trabajo, lo que hace que la comunicación se vea confiable para los empleados. Al aprovechar herramientas que ya están permitidas en el entorno corporativo, los atacantes logran sortear muchas de las defensas de seguridad tradicionales.

Grupos de Cibercriminales Involucrados

Sophos MDR identificó que detrás de estas campañas se encuentran dos grupos principales de atacantes. El primero es el grupo STAC5143, que ha utilizado herramientas como archivos JAR de Java y backdoors en Python para comprometer los sistemas. Este grupo emplea tácticas que imitan a las de FIN7, un conocido grupo de cibercriminales especializado en ataques dirigidos a empresas grandes.

El segundo grupo identificado es STAC5777, asociado con el grupo Storm-1811. Este grupo utiliza herramientas legítimas de Microsoft para realizar movimientos laterales dentro de las redes de las víctimas, lo que les permite propagar el ransomware y alcanzar una mayor cantidad de sistemas comprometidos. En algunos casos, este grupo despliega el ransomware Black Basta, conocido por su alta efectividad y el daño que causa a las organizaciones.

Consecuencias y Recomendaciones

El uso de técnicas como el bombardeo de correos electrónicos y el vishing en plataformas populares como Microsoft Teams demuestra una tendencia creciente entre los atacantes a aprovechar las herramientas que las organizaciones ya utilizan en su día a día. Este cambio en las tácticas resalta la necesidad de que las empresas se adapten a las nuevas formas de amenaza y actualicen sus estrategias de defensa.

Métodos para Mitigar el Riesgo

Para prevenir este tipo de ataques, las organizaciones deben implementar varias medidas de seguridad preventivas:

  1. Reforzar la configuración de Microsoft 365 y Teams: Asegúrate de que las comunicaciones en Teams estén restringidas a usuarios internos y que se limiten las interacciones con personas fuera de la organización. Configurar políticas adecuadas para el uso de Teams puede prevenir que los atacantes se hagan pasar por empleados o soporte técnico.

  2. Limitar el acceso a herramientas de acceso remoto: Deshabilitar o restringir el uso de aplicaciones como Quick Assist, que permiten el acceso remoto a los dispositivos, puede prevenir que los atacantes tomen control de las máquinas de los empleados.

  3. Monitorear correos electrónicos y mensajes en Teams: Es fundamental contar con un sistema de monitoreo que detecte patrones de bombardeo de correos electrónicos o mensajes de Teams sospechosos. Los sistemas de detección de phishing pueden ayudar a identificar y bloquear estos ataques antes de que lleguen a las bandejas de entrada de los empleados.

  4. Capacitación continua para los empleados: La educación constante sobre las tácticas de ingeniería social, como el phishing y el vishing, es crucial. Los empleados deben estar preparados para identificar señales de alerta y saber cómo actuar ante correos electrónicos o mensajes sospechosos.

Conclusión

El aumento de las tácticas de bombardeo de correos y vishing a través de Microsoft Teams subraya la evolución de las amenazas cibernéticas, donde los atacantes no solo dependen de técnicas de infección tradicionales, sino que también aprovechan las herramientas legítimas que las empresas ya están utilizando. La protección contra estos ataques exige una combinación de configuraciones de seguridad sólidas, monitoreo proactivo y, sobre todo, una cultura organizacional de ciberseguridad que involucre a todos los empleados.

Adoptar estas medidas no solo reduce el riesgo de ser víctima de ransomware, sino que también fortalece la postura de seguridad general de la organización, ayudando a mitigar amenazas emergentes y a proteger los activos más valiosos de la empresa.

Fuente: Sophos MDR tracks two ransomware campaigns using “email bombing,” Microsoft Teams “vishing” – Sophos News

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!