Microsoft frustra más de 200 ataques de ransomware dirigidos a usuarios de "Teams"

Microsoft logró frustrar una campaña cibernética avanzada de ataques de "ransomware" (Ransomware), que tenía como objetivo a los usuarios de su plataforma de colaboración "Teams". La respuesta principal fue revocar más de doscientas certificaciones de firma digital, que se utilizaron para dar una apariencia legítima a software malicioso y distribuirlo.

Las investigaciones revelaron que el grupo de hackers "Vanilla Tempest" _también conocido como "VICE SPIDER" y "Vice Society"_ está detrás de estos ataques que comenzaron a principios de octubre. El grupo, motivado financieramente y que apunta a los sectores de educación, salud y tecnología, engañó a los usuarios a través de dominios falsos que imitan la plataforma oficial de "Teams".

El objetivo de estos dominios engañosos era instalar una aplicación falsa de "Teams", que funcionaba como una puerta de entrada para introducir un malware llamado "Bleeping Computer". Microsoft advirtió que este software, "al ejecutarse, otorga a los hackers acceso remoto a los dispositivos infectados, permite extraer archivos, ejecutar comandos y cargar software adicional malicioso."

"Vanilla Tempest" utilizó un enfoque avanzado de ocultación, ya que "explotó una firma digital confiable para engañar a los sistemas de seguridad y hacer que el software malicioso pareciera confiable." Este método les permitió eludir las defensas de muchos de los posibles objetivos.

Tras el descubrimiento de la amenaza, Microsoft actuó decisivamente al revocar más de 200 certificaciones digitales que se utilizaban para firmar los instaladores maliciosos. Esta acción resultó en "la pérdida de confianza de estos instaladores, lo que los expone a cuestionamientos y monitoreo por parte de los sistemas de seguridad." Además, "se redujo la capacidad de los atacantes para ocultarse detrás de firmas digitales confiables, lo que obstaculiza la propagación del malware a través de los canales engañosos que se habían establecido."

A pesar del éxito en desactivar gran parte de la campaña, Microsoft advierte a los usuarios que "todavía existe el riesgo de otros intentos en el futuro que adopten nuevos modelos para engañar a los usuarios a través del camuflaje digital."

Ante la persistencia de las amenazas, la empresa enfatiza la importancia de la vigilancia de seguridad, aconsejando a los usuarios que verifiquen cuidadosamente la fuente de cualquier enlace antes de descargar software, y eviten hacer clic en anuncios o enlaces no confiables que afirmen ofrecer una instalación oficial. También subrayó la necesidad de ejecutar y actualizar constantemente los programas de protección. Para las organizaciones, se recomienda adoptar políticas de seguridad más estrictas que incluyan el endurecimiento del acceso a las firmas de software y la implementación de verificación múltiple al instalar aplicaciones.