Microsoft ha emitido una advertencia sobre una sofisticada campaña de phishing llevada a cabo por un grupo conocido como Storm-0324, también apodado TA543 y Sagrid. Esta campaña se destaca por su enfoque en el uso de mensajes de Microsoft Teams como señuelo para infiltrarse en redes corporativas, marcando un cambio significativo en los métodos de acceso inicial.
A partir de julio de 2023, Storm-0324 comenzó a distribuir cargas útiles de malware mediante mensajes de phishing en Microsoft Teams. Esto se logró utilizando una herramienta de código abierto llamada TeamsPhisher, que aprovecha una vulnerabilidad que fue identificada por primera vez en junio de 2023. Esta táctica representa un cambio respecto a los vectores de infección iniciales basados en correo electrónico que solían ser más comunes.
Este grupo, Storm-0324, opera en la economía cibercriminal como un distribuidor de cargas útiles y ofrece servicios que facilitan la propagación de varias formas de malware, incluyendo troyanos bancarios, ransomware y kits de herramientas modulares como Nymaim, Gozi, TrickBot, entre otros.
Lee también: ¿Qué es un sistema operativo?
Lo que hace que esta campaña sea aún más peligrosa es su capacidad para evadir la detección. Utiliza sistemas de distribución de tráfico (TDS) como BlackTDS y Keitaro, lo que les permite eludir soluciones de seguridad al redirigir a las víctimas a sitios de descarga maliciosos.
Además, Storm-0324 facilita el acceso a otros actores de amenazas, incluido el grupo de ransomware como servicio (RaaS) Sangria Tempest, que puede llevar a cabo ataques de cifrado de archivos. La compañía ha tomado medidas para mejorar la seguridad y suspendió cuentas asociadas con actividades sospechosas.
Es importante destacar que el actor estatal ruso APT29 también ha adoptado una técnica similar, enviando señuelos de phishing a través de Teams en ataques dirigidos a organizaciones en todo el mundo.
Esta revelación llega en un momento en que los ataques de ransomware están en aumento en 2023. Diversos grupos, como el notorio grupo de ransomware llamado Cuba, han empleado tácticas avanzadas y herramientas personalizadas para atacar empresas en todo el mundo. Estos ataques subrayan la importancia de la ciberseguridad y la necesidad de mantener una buena higiene cibernética para prevenir estos incidentes.
El Centro Nacional de Seguridad Cibernética (NCSC) y la Agencia Nacional contra el Crimen (NCA) del Reino Unido han advertido que la mayoría de los ataques de ransomware no dependen de técnicas sofisticadas, sino que se basan en oportunidades y una mala higiene cibernética. Por lo tanto, es esencial que las organizaciones refuercen sus defensas y estén alerta ante las amenazas en evolución constante en el mundo digital.
Investigar y explicar de forma detallada toma tiempo, si quieres apoyar a nuestros editores través de una donación puedes hacerlo aquí.
