Una sofisticada campaña de ciberataques, atribuida a diversos grupos de ransomware, incluyendo a los operadores del malware 3AM, ha comprometido la seguridad de más de 70 empresas, según reportes de Sophos. La operación, que combina técnicas de email bombing, vishing y el uso de herramientas legítimas como Microsoft Quick Assist, busca el robo de información confidencial previo al despliegue del ransomware.
Sophos X-Ops documentó por primera vez esta campaña en enero, identificando inicialmente 15 empresas afectadas. Desde entonces, los servicios de respuesta a incidentes (IR) y monitoreo proactivo (MDR) de Sophos han registrado más de 55 intentos de ataque adicionales. Un grupo distinto ha adoptado esta cadena de ataque, utilizando el ransomware ‘3AM’, lo que representa una amenaza creciente para organizaciones a nivel global, incluyendo México.
Modus Operandi de los atacantes
La investigación de Sophos detalla un ataque escalonado que puede permanecer activo hasta nueve días antes de intentar el cifrado de archivos:
Día 1 – Acoso Inicial: Los atacantes inician con un bombardeo de correos electrónicos automatizados a una cuenta corporativa, buscando que el usuario contacte al soporte técnico.
Día 2 – Ingeniería Social por Vishing: Los atacantes realizan llamadas telefónicas haciéndose pasar por el departamento de TI de la empresa, persuadiendo a la víctima a activar Quick Assist de Microsoft para obtener acceso remoto.
Día 3 – Acceso y Manipulación: Una vez dentro del sistema, descargan herramientas como Process Hacker para deshabilitar las defensas de seguridad y monitorear procesos.
Días 4-7 – Persistencia y Despliegue de VM: Se descarga una máquina virtual de Windows (VirtualBox) en el dispositivo comprometido. Desde allí, los atacantes se mueven lateralmente por la red, evadiendo la detección de herramientas de seguridad al operar dentro de la VM.
Día 8 – Reconocimiento y Exfiltración de Datos: Se realiza un mapeo de la red, identificación de sistemas vulnerables y extracción de datos confidenciales.
Día 9 – Activación del Ransomware: Se lanza el ransomware ‘3AM’ para cifrar los sistemas y exigir un rescate.
Ataques personalizados y sofisticación
Esta campaña se distingue por su alto nivel de personalización. Los atacantes realizan un reconocimiento exhaustivo para obtener nombres, direcciones de correo electrónico y números telefónicos específicos de las organizaciones objetivo. En algunos casos, han suplantado números reales del soporte técnico interno de las empresas afectadas.
Sophos señala que el grupo vinculado al ransomware ‘3AM’ ha perfeccionado esta estrategia, combinando ingeniería social avanzada, técnicas de evasión y el uso de herramientas legítimas para operar encubiertamente durante días antes de ejecutar el ataque final.
Sean Gallagher, investigador principal de amenazas en Sophos, advierte: “La combinación de vishing y email bombing sigue siendo una estrategia efectiva para los grupos de ransomware. El grupo detrás de 3AM ha encontrado una forma de aprovechar la encriptación remota para evadir el software de seguridad tradicional. Dada la eficacia de estas técnicas de ingeniería social, se prevé que estas campañas se mantengan activas”.
Gallagher recomienda a las empresas “priorizar la concientización del personal y restringir estrictamente el acceso remoto. Esto incluye políticas que bloqueen la ejecución de máquinas virtuales y software de acceso remoto en equipos no autorizados, así como el bloqueo del tráfico de red entrante y saliente relacionado con control remoto, salvo en sistemas específicamente designados para ello”.
Recomendaciones
Capacitar al personal en la identificación de fraudes por voz y correo electrónico.
Bloquear Quick Assist y herramientas similares en dispositivos no designados.
Implementar políticas restrictivas para el uso de máquinas virtuales.
Establecer monitoreo continuo del tráfico de red y actividad remota.
Activar la autenticación multifactor (MFA) en todos los accesos remotos.
Para obtener detalles técnicos adicionales, Sophos X-Ops ha publicado un blog completo en: https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist
Fuente: Sophos
