El grupo iraní MuddyWater ha sido vinculado a una nueva campaña de ciberataques que aprovecha Microsoft Teams como vector de entrada. Los atacantes se hacen pasar por soporte técnico de Microsoft para contactar a sus víctimas, solicitando acceso remoto o instalación de software malicioso. Una vez dentro, roban credenciales y datos sensibles, y despliegan un ransomware falso para desviar la atención.
Técnica de suplantación y herramientas de acceso remoto 🛠️
Los atacantes inician la conversación en Teams simulando ser personal de soporte técnico, argumentando problemas de seguridad urgentes. Bajo ese pretexto, solicitan a la víctima que instale herramientas legítimas como ScreenConnect o AnyDesk. Una vez con control remoto, los atacantes extraen credenciales almacenadas en el sistema y datos de aplicaciones corporativas. Finalmente, despliegan un ransomware que no cifra archivos, sino que solo simula el ataque para ocultar el robo real de información.
El ransomware falso: un clásico para echar la culpa a otro 😅
Lo mejor de todo es que, tras robar tus credenciales y datos, los atacantes tienen la cortesía de dejar un ransomware falso para que pienses que fue un ataque genérico y no una intrusión dirigida. Es como si un ladrón entrara a tu casa, se llevara la caja fuerte, y antes de irse dejara una nota diciendo fue el vecino. Menos mal que al menos se tomaron la molestia de simular el cifrado, aunque tus archivos estén intactos y tu cuenta de Teams ya esté en venta en la dark web.