Campaña de ransomware combina ingeniería social y técnicas avanzadas para evadir la seguridad corporativa.

Campaña de emails masivos se expande e incorpora Ransomware 3AM

Sophos X-Ops investigó una campaña activa de Ransomware que combina email bombing y vishing para robar datos. Los atacantes se hacen pasar por soporte técnico de Microsoft Teams.

Redacción de ITSitio 27 de mayo de 2025

2 minutos de lectura

Sophos X-Ops realizó una nueva investigación sobre una campaña de amenazas activa protagonizada por varios grupos de Ransomware. Los atacantes están utilizando una combinación de email bombing (envío masivo de hasta varios miles de correos en el transcurso de una hora) y vishing (mensajes de voz fraudulentos) para infiltrarse en redes corporativas y robar información confidencial.

En esta campaña, los ciberdelincuentes se hacen pasar por personal de soporte técnico de Microsoft Teams para engañar a los empleados y obtener acceso remoto a sus computadores. Una vez dentro, descargan Ransomware.

El equipo de Sophos X-Ops reportó por primera vez esta campaña en enero, cuando ya había afectado a 15 empresas. Desde entonces, se han identificado más de 55 intentos adicionales de ataque, según datos de los servicios de respuesta a incidentes (IR) y monitoreo proactivo (MDR) de la marca. Además, un grupo distinto ha adoptado una cadena de ataque similar con el uso del Ransomware conocido como 3AM.

Las empresas deben educar a sus empleados para detectar engaños, reduciendo el riesgo de caer en estafas de ingeniería social y phishing.Los atacantes envían miles de correos en una hora como parte de la técnica de email bombing, una estrategia diseñada para distraer y confundir a los usuarios.

Este grupo ha adaptado sus tácticas de forma significativa para aumentar sus probabilidades de éxito, entre ellas:

Despliegue de una máquina virtual en el equipo comprometido para evadir soluciones de seguridad en el endpoint.
Ataques personalizados tras un reconocimiento detallado del objetivo, identificando correos electrónicos y números telefónicos específicos, incluso suplantando el número del propio servicio de soporte de la organización mediante llamadas VoIP.
Periodos de espera de hasta 9 días realizando labores de reconocimiento antes de lanzar el ataque con Ransomware.

Emails masivos. La campaña incluye reconocimiento detallado del objetivo, suplantación de identidad y ataques personalizados tras días de monitoreo encubierto. — La campaña incluye reconocimiento detallado del objetivo, suplantación de identidad y ataques personalizados tras días de monitoreo encubierto.

Sean Gallagher, investigador principal de amenazas en Sophos, comenta que “la combinación de vishing y email bombing continúa siendo una estrategia efectiva para los grupos de Ransomware. El grupo detrás de 3AM ha encontrado una forma de aprovechar la encriptación remota para evadir el software de seguridad tradicional. Debido a la eficacia de estas técnicas de ingeniería social, esperamos que estas campañas continúen activas”.

Y concluye: “Para mantenerse protegidas, las empresas deben priorizar la concientización del personal y restringir estrictamente el acceso remoto. Esto incluye políticas que bloqueen la ejecución de máquinas virtuales y software de acceso remoto en equipos no autorizados, así como el bloqueo del tráfico de red entrante y saliente relacionado con control remoto, salvo en sistemas designados específicamente para ello”.