Ciberseguridad

Hackers usan Microsoft Teams para ocultar ataques de ransomware

EL Suinda

2 min read
Hackers usan Microsoft Teams para ocultar ataques de ransomware
Hackers usan Microsoft Teams para ocultar ataques de ransomware

Los ciberdelincuentes nunca dejan de sorprendernos con sus métodos creativos para pasar desapercibidos. Ahora, el grupo de ransomware conocido como DragonForce encontró una nueva forma de esconderse: usando la infraestructura legítima de Microsoft Teams como túnel para sus ataques. Sí, leyó bien: los hackers están aprovechando una herramienta de videoconferencia que millones de personas usan a diario en el trabajo.

¿Qué pasó?

Investigadores de Symantec (parte de Broadcom) y Carbon Black descubrieron que DragonForce está utilizando un troyano de acceso remoto personalizado llamado Backdoor.Turn, desarrollado en Go, para infiltrarse en sistemas y ocultarse en el tráfico de relés de Microsoft Teams. Este malware fue detectado durante un ataque contra una importante empresa de servicios en Estados Unidos.

La técnica es astuta: al usar los servidores legítimos de Teams como intermediarios, el malware envía y recibe comandos sin que se distinga del tráfico normal de la plataforma. Desde la perspectiva de un administrador de red, todo parece una conversación de trabajo más. Es como intentar encontrar a un ladrón dentro de un estadio lleno de gente.

Lo preocupante es que Backdoor.Turn está específicamente diseñado para este tipo de ocultamiento, lo que sugiere que DragonForce llevaba tiempo planificando esta estrategia. Una vez dentro de un sistema, el malware puede ejecutar comandos maliciosos, exfiltrar datos o desplegar ransomware adicional.

¿Por qué importa en Argentina y América Latina?

En nuestra región, la adopción de herramientas como Microsoft Teams creció exponencialmente desde 2020, especialmente en empresas de servicios financieros, energía, telecomunicaciones e IT. Estas mismas industrias son blancos frecuentes de grupos como DragonForce. Si los atacantes logran infiltrarse usando canales legítimos que ya están permitidos en los firewalls corporativos, es mucho más difícil detectarlos.

Los ransomware que atacan empresas latinoamericanas suelen encadenarse con robo de datos y extorsión. Una empresa argentina de servicios o un banco brasileño infectado con este tipo de malware no solo enfrenta el cierre de operaciones, sino también el robo de información sensible de clientes. El impacto económico y de reputación es devastador.

¿Qué se recomienda?

  • Revisa tus logs de Teams: Si tu empresa usa Microsoft Teams, analiza el tráfico de relés para detectar patrones anormales o conexiones sospechosas. Trabaja con tu equipo de seguridad o proveedor de servicios gestionados.
  • Actualiza tus sistemas: Asegúrate de que todos los endpoints, servidores y aplicaciones estén completamente parcheados. Los grupos de ransomware suelen explotar vulnerabilidades conocidas.
  • Implementa segmentación de red: No todos los usuarios necesitan acceso a todos los recursos. Limita el movimiento lateral dentro de tu red corporativa.
  • Fortalece la autenticación: Usa autenticación multifactor en Teams y en todas las herramientas críticas. Los atacantes no pueden entrar si no tienen credenciales válidas.
  • Mantén backups offline: Es la única defensa real contra ransomware. Si tus datos están respaldados en sistemas desconectados, puedes recuperar tu operación sin pagar rescates.
  • Capacita a tu equipo: Los empleados son la primera línea de defensa. Entrenamientos regulares sobre phishing y seguridad reducen el riesgo de brechas iniciales.

Fuente: The Hacker News

Read more