Sophos MDR rastrea dos campañas de Ransomware que utilizan Microsoft Teams

Incluyen tácticas como bombardeo de correos electrónicos (Email-bombing), además de envío de mensajes y realización de llamadas de voz (vishing) y video desde una instancia de Office 365.

El equipo MDR (Managed Detection and Response) de Sophos X-Ops ha descubierto dos campañas activas de amenazas que involucran a dos grupos distintos de ciberdelincuentes que se están aprovechando de la plataforma Microsoft Office 365 y de herramientas de gestión remota como Quick Assist para infiltrarse en las redes de TI de las empresas. Su objetivo es robar datos corporativos y desplegar Ransomware.

Ambas campañas están actualmente muy activas. Sophos MDR ha identificado más de 15 incidentes relacionados con estas tácticas en los últimos tres meses, con la mitad de ellos ocurriendo en las últimas dos semanas.

Ambos grupos de amenazas utilizan un conjunto similar de tácticas:

• Identifican a un pequeño grupo específico de empleados en una empresa que utiliza Microsoft Teams.

• Envían a estos empleados miles de correos no deseados en un periodo muy corto; en un caso, más de 3.000 correos en menos de una hora (una técnica conocida como bombardeo de correos electrónicos).

• Siguen con llamadas de voz y video a través de Microsoft Teams, ofreciendo ayuda para resolver el problema del spam.

• Utilizando Quick Assist o la función de compartir pantalla de Microsoft Teams, toman el control del equipo del empleado objetivo y despliegan Ransomware.

Sophos X-Ops ha identificado vínculos entre uno de estos grupos de actores maliciosos y el grupo cibercriminal ruso Fin7. El otro grupo comparte vínculos con el grupo ruso Storm-1811. Sophos está publicando esta investigación para ayudar a las organizaciones a defenderse contra esta campaña activa y aumentar la conciencia sobre su creciente impacto.

Sean Gallagher, investigador principal de amenazas en Sophos, comenta que “si bien la explotación de herramientas de gestión remota y el abuso de servicios legítimos no son completamente nuevos, estamos viendo que más grupos de ciberdelincuentes adoptan estas tácticas para atacar empresas de todos los tamaños. La configuración predeterminada de Microsoft Teams permite que personas externas a una organización chateen o llamen a personal interno, y los atacantes se están aprovechando de esta característica”.

“Dado que muchas empresas utilizan proveedores de servicios gestionados para su soporte de TI, recibir una llamada por Teams de una persona desconocida etiquetada como ‘Help Desk Manager’ puede no levantar sospechas, especialmente si se combina con una cantidad abrumadora de correos spam. Mientras Sophos sigue identificando nuevos casos de MDR e IR asociados con estas tácticas, queremos que las empresas que usan Microsoft 365 estén en alerta máxima. Deberían revisar las configuraciones a nivel empresarial, bloquear mensajes de cuentas externas si es posible y restringir herramientas de acceso remoto y de gestión remota que no sean utilizadas regularmente por sus organizaciones”, finaliza el ejecutivo de Sophos.

Consulta la investigación completa disponible en inglés en el siguiente enlace: https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/