Sophos, ha lanzado hoy MSP Elevate, un nuevo programa diseñado para acelerar el crecimiento comercial de los proveedores de servicios gestionados (MSP).
Una nueva investigación de Sophos X-Ops, el equipo de operaciones cruzadas de Sophos, líder global en soluciones de seguridad innovadoras para derrotar ciberataques, revela una campaña de ciberataques sofisticados que combina tácticas de email bombing, vishing y acceso remoto para infiltrarse en empresas, robar datos y lanzar ransomware. La novedad: los delincuentes se hacen pasar por soporte técnico de Microsoft Teams y engañan a empleados para que abran la puerta al ransomware 3AM.
Este nuevo actor, derivado de grupos como BlackSuit o Royal, está usando ingeniería social altamente personalizada: realizan reconocimiento previo para identificar correos y teléfonos de empleados específicos, bombardean su bandeja de entrada con miles de correos y luego llaman haciéndose pasar por el área de TI —incluso falsificando su número— para pedir acceso remoto vía Microsoft Quick Assist.
Una vez dentro, los atacantes despliegan una máquina virtual con un troyano preinstalado (QDoor), lo que les permite evadir herramientas tradicionales de ciberseguridad. Desde ahí pueden operar durante días (en algunos casos hasta nueve) antes de lanzar el ataque final.
La campaña, detectada inicialmente en enero, ya ha sumado más de 55 intentos. Para las empresas, esto representa una amenaza real y silenciosa que pasa los filtros convencionales.
“La combinación de vishing y email bombing continúa siendo una estrategia efectiva para los grupos de ransomware. El grupo detrás de 3AM ha encontrado una forma de aprovechar la encriptación remota para evadir el software de seguridad tradicional. Debido a la eficacia de estas técnicas de ingeniería social, esperamos que estas campañas continúen activas”, señala Sean Gallagher, investigador de Sophos.
¿Qué hacer?
Reforzar las políticas de acceso remoto, impedir la ejecución de VMs no autorizadas y capacitar al personal para identificar intentos de vishing o interacciones sospechosas por Teams no es opcional: es urgente.
Sean Gallagher también advierte: “Para mantenerse protegidas, las empresas deben priorizar la concientización del personal y restringir estrictamente el acceso remoto. Esto incluye políticas que bloqueen la ejecución de máquinas virtuales y software de acceso remoto en equipos no autorizados, así como el bloqueo del tráfico de red entrante y saliente relacionado con control remoto, salvo en sistemas designados específicamente para ello”.