Ransomware al Acecho: Cómo Protegértete del Email Bombing y Vishing en Teams

En el dinámico mundo de la ciberseguridad, los atacantes constantemente desarrollan tácticas más sofisticadas para vulnerar las defensas de las organizaciones. Recientemente, Sophos X-Ops, a través de su servicio de Detección y Respuesta Gestionadas (MDR), ha identificado dos campañas de ransomware que emplean métodos innovadores para infiltrarse en sistemas corporativos. Estas campañas combinan el “bombardeo de correos electrónicos” con técnicas de “vishing” a través de Microsoft Teams, creando desafíos significativos para la seguridad empresarial.

Desentrañando las Nuevas Tácticas de Ataque

Los ciberdelincuentes han adoptado un enfoque multifacético para comprometer a sus objetivos. Inicialmente, inundan las bandejas de entrada de empleados específicos con una avalancha de correos electrónicos no deseados, una táctica conocida como “bombardeo de correos electrónicos”. Este ataque masivo, que puede involucrar hasta 3,000 mensajes en menos de una hora, busca abrumar al destinatario y generar una sensación de urgencia y confusión.

Aprovechando esta distracción, los atacantes se hacen pasar por personal de soporte técnico y se comunican con las víctimas a través de Microsoft Teams. Gracias a una configuración predeterminada en Teams que permite interacciones con usuarios externos, los delincuentes pueden iniciar chats o llamadas, presentándose como miembros del equipo de TI de la organización. Durante estas interacciones, persuaden a las víctimas para que otorguen acceso remoto a sus sistemas, ya sea mediante la función de compartir pantalla de Teams o utilizando herramientas como Microsoft Quick Assist. Una vez obtenida esta entrada, despliegan malware diseñado para robar datos y, en última instancia, implementar ransomware.

Perfiles de los Grupos de Amenaza

Sophos ha identificado dos grupos distintos que emplean estas tácticas: STAC5143 y STAC5777.

STAC5143:

• Métodos de Acceso: Utiliza la función de control remoto integrada en Teams para obtener acceso a los sistemas de las víctimas.
• Herramientas: Emplea archivos Java (JAR) y entornos de ejecución de Java para automatizar la explotación de los sistemas comprometidos. Estos archivos descargan y ejecutan puertas traseras basadas en Python desde enlaces remotos de SharePoint.
• Asociaciones: Presenta similitudes con las técnicas y herramientas asociadas al grupo FIN7, también conocido como Sangria Tempest o Carbon Spider.

STAC5777:

• Métodos de Acceso: Prefiere el uso de Microsoft Quick Assist para obtener control remoto de los sistemas de las víctimas.
• Técnicas: Realiza cambios manuales en la configuración del sistema y despliega malware. Utiliza un actualizador legítimo de Microsoft junto con una DLL maliciosa para mantener persistencia, robar credenciales y explorar recursos de la red.
• Movimientos Laterales: Emplea Protocolo de Escritorio Remoto (RDP) y Windows Remote Management para moverse lateralmente dentro de la red comprometida.
• Ransomware: En al menos un caso, ha desplegado el ransomware Black Basta.
• Asociaciones: Comparte técnicas, herramientas y procedimientos con el grupo identificado por Microsoft como Storm-1811.

Análisis Detallado de las Tácticas

Bombardeo de Correos Electrónicos

El bombardeo de correos electrónicos es una táctica diseñada para inundar la bandeja de entrada de la víctima con una gran cantidad de mensajes en un corto período. Este aluvión de correos electrónicos no solo abruma al destinatario, sino que también puede ocultar comunicaciones importantes y generar una sensación de urgencia. Los atacantes utilizan esta técnica para distraer a la víctima y preparar el terreno para el siguiente paso de su ataque.

Suplantación en Microsoft Teams

Aprovechando configuraciones predeterminadas en Microsoft Teams que permiten comunicaciones con usuarios externos, los atacantes se hacen pasar por personal de soporte técnico. Inician chats o llamadas de voz y video, presentándose como miembros del equipo de TI de la organización. Esta suplantación es especialmente efectiva en organizaciones que utilizan proveedores de servicios gestionados para su soporte técnico, ya que los empleados pueden no encontrar inusual recibir comunicaciones de personal de TI desconocido.

Uso de Herramientas de Acceso Remoto

Una vez establecida la confianza, los atacantes persuaden a las víctimas para que les otorguen acceso remoto a sus sistemas. Esto se logra mediante la función de compartir pantalla de Teams o herramientas como Microsoft Quick Assist. Con este acceso, los atacantes pueden realizar cambios en la configuración del sistema, instalar malware y explorar la red en busca de otros objetivos.

Despliegue de Malware y Ransomware

Tras obtener acceso, los atacantes despliegan malware diseñado para robar credenciales, mantener persistencia y explorar la red. En algunos casos, han utilizado técnicas de carga lateral de DLL, donde un actualizador legítimo de Microsoft se utiliza junto con una DLL maliciosa. Finalmente, buscan desplegar ransomware, como Black Basta, para cifrar datos y exigir un rescate.

Recomendaciones para la Defensa

Para protegerse contra estas tácticas avanzadas, las organizaciones deben considerar las siguientes medidas:

1. Configuración de Microsoft Teams: Revise y ajuste las configuraciones predeterminadas de Teams para restringir o limitar las comunicaciones entrantes de dominios externos.
2. Políticas de Acceso Remoto: Establezca políticas claras que limiten el uso de herramientas de acceso remoto, asegurando que solo el personal de soporte técnico autorizado pueda utilizarlas.
3. Monitoreo de Comunicaciones: Implemente soluciones de monitoreo para detectar y alertar sobre comunicaciones entrantes sospechosas en Teams y Outlook.
4. Concienciación del Personal: