“Ransomware 3AM”: revela peligrosa campaña de correos electrónicos masivos

Sophos X-Ops realizó una nueva investigación sobre una campaña de amenazas activada protagonizada por varios grupos de Ransomware. Los atacantes están utilizando una combinación de email bombing (envío masivo de hasta varias millas de correos en el transcurso de una hora) y vishing (mensajes de voz fraudulentos) para infiltrarse en redes corporativas y robar información confidencial.

En esta campaña, los ciberdelincuentes se hacen pasar por personal de soporte técnico de Microsoft Teams para engañar a los empleados y obtener acceso remoto a sus computadores. Una vez dentro, descargue Ransomware.

El equipo de Sophos X-Ops informó por primera vez esta campaña en enero , cuando ya había afectado a 15 empresas. Desde entonces, se han identificado más de 55 intentos adicionales de ataque, según datos de los servicios de respuesta a incidentes (IR) y monitoreo proactivo (MDR) de la marca. Además, un grupo distinto ha adoptado una cadena de ataque similar con el uso del Ransomware conocido como 3AM.

Este grupo ha adaptado sus tácticas de forma significativa para aumentar sus probabilidades de éxito, entre ellas:

• Despliegue de una máquina virtual en el equipo comprometido para evadir soluciones de seguridad en el endpoint.
• Ataques personalizados tras un reconocimiento detallado del objetivo, identificando correos electrónicos y números telefónicos específicos, incluso suplantando el número del propio servicio de soporte de la organización mediante llamadas VoIP.
• Periodos de espera de hasta 9 días realizando labores de reconocimiento antes de lanzar el ataque con Ransomware.

Sean Gallagher, investigador principal de amenazas en Sophos, comenta que “la combinación de vishing y email bombing continúa siendo una estrategia efectiva para los grupos de Ransomware. El grupo detrás de 3AM ha encontrado una forma de aprovechar la encriptación remota para evadir el software de seguridad tradicional. Debido a la eficacia de estas técnicas de ingeniería social, esperamos que estas campañas continúen activas”.

“Para mantenerse protegidas, las empresas deben priorizar la concientización del personal y restringir estrictamente el acceso remoto. Esto incluye políticas que bloquean la ejecución de máquinas virtuales y software de acceso remoto en equipos no autorizados, así como el bloqueo del tráfico de red entrante y saliente relacionado con control remoto, salvo en sistemas designados específicamente para ello”, agrega el ejecutivo.