CIUDAD DE MÉXICO.- Dos grupos de ciberdelincuentes han comenzado a explotar vulnerabilidades en plataformas populares como Microsoft Office 365 y herramientas de gestión remota, como Quick Assist, para infiltrarse en redes corporativas y robar datos sensibles, desplegando ransomware en el proceso.
Ambas campañas están actualmente en pleno auge, con más de 15 incidentes reportados en los últimos tres meses. De estos, la mitad ocurrieron en las últimas semanas. Así es como los ciberdelincuentes están robando datos:
Primero identifican a un pequeño grupo específico de empleados en una empresa que utiliza Microsoft Teams.
Envían a estos empleados miles de correos electrónicos no deseados en un periodo muy corto; en un caso, más de 3,000 correos en menos de una hora (una técnica conocida como bombardeo de correos electrónicos o email bombing).
Siguen con llamadas de voz y video a través de Microsoft Teams, ofreciendo ayuda para resolver el problema del spam.
Luego, utilizando Quick Assist o la función de compartir pantalla de Microsoft Teams, toman el control del equipo del empleado y despliegan ransomware.
Sophos X-Ops ha identificado vínculos entre uno de estos grupos de actores maliciosos y el grupo cibercriminal ruso Fin7. El otro grupo comparte vínculos con el grupo ruso Storm-1811. Sophos está publicando esta investigación para ayudar a las organizaciones a defenderse contra esta campaña activa y aumentar la conciencia sobre su creciente impacto.
Sean Gallagher, investigador principal de amenazas en Sophos, afirma: “La explotación de herramientas de gestión remota y el abuso de servicios legítimos están en aumento. Muchas empresas no sospechan cuando reciben llamadas de soporte a través de Microsoft Teams, especialmente si la llamada es etiquetada como ‘Help Desk Manager’ y acompañada de un bombardeo de correos spam”.
¿Qué significa esto para las empresas mexicanas? Con la creciente digitalización en México, muchas organizaciones están adoptando herramientas como Microsoft Teams para mejorar su productividad, lo que las hace más vulnerables a estos ataques. Es esencial que las empresas mexicanas refuercen sus medidas de seguridad para protegerse de estos ciberdelincuentes que cada vez son más sofisticados.
Sophos recomienda a las empresas que utilizan Microsoft 365 que revisen sus configuraciones de seguridad, bloqueen mensajes de cuentas externas y restrinjan el acceso remoto innecesario.
¿En busca de pareja? Así operan los estafadores en apps de citas
