El equipo Managed Detection and Response (MDR) de Sophos X-Ops ha identificado dos campañas activas de ciberdelincuentes que aprovechan Microsoft Office 365 y herramientas de gestión remota como Quick Assist para infiltrarse en redes corporativas. Su objetivo es el robo de datos y la implementación de ransomware.
Francisco Carrasco M.
En los últimos tres meses, Sophos MDR ha detectado más de 15 incidentes relacionados con estas tácticas, con la mitad ocurriendo en las últimas dos semanas.
Los atacantes identifican empleados específicos de una empresa que usan Microsoft Teams y los bombardean con miles de correos electrónicos en poco tiempo. Luego, realizan llamadas de voz y video a través de Teams, haciéndose pasar por personal de soporte técnico para ofrecer ayuda contra el supuesto problema de spam. Finalmente, usan Quick Assist o la función de compartir pantalla de Teams para tomar el control del equipo y desplegar ransomware.
Uno de los grupos identificados tiene vínculos con el grupo cibercriminal ruso Fin7, mientras que el otro está relacionado con Storm-1811. Sophos ha publicado esta investigación para ayudar a las organizaciones a defenderse y concienciar sobre el creciente impacto de estas amenazas.
Francisco Carrasco M.
Sean Gallagher, investigador principal de amenazas en Sophos, advierte que :
“Si bien la explotación de herramientas de gestión remota y el abuso de servicios legítimos no son completamente nuevos, estamos viendo que más grupos de ciberdelincuentes adoptan estas tácticas para atacar empresas de todos los tamaños. La configuración predeterminada de Microsoft Teams permite que personas externas a una organización chateen o llamen a personal interno, y los atacantes se están aprovechando de esta característica”.
Finalmente, Gallagher agrega:
“Dado que muchas empresas utilizan proveedores de servicios gestionados para su soporte de TI, recibir una llamada por Teams de una persona desconocida etiquetada como 'Help Desk Manager' puede no levantar sospechas, especialmente si se combina con una cantidad abrumadora de correos spam. Mientras Sophos sigue identificando nuevos casos de MDR e IR asociados con estas tácticas, queremos que las empresas que usan Microsoft 365 estén en alerta máxima. Deberían revisar las configuraciones a nivel empresarial, bloquear mensajes de cuentas externas si es posible y restringir herramientas de acceso remoto y de gestión remota que no sean utilizadas regularmente por sus organizaciones.”
Francisco Carrasco M.
