Investigadores de Sophos han descubierto una sofisticada campaña de ciberataques perpetrada por los operadores del ransomware 3AM, que combina técnicas de phishing masivo con llamadas telefónicas fraudulentas de soporte técnico. Esta evolución en las tácticas de ataque representa una amenaza significativa para la seguridad empresarial.
Incremento Significativo en Ataques Híbridos
Entre noviembre de 2024 y enero de 2025, se documentaron más de 55 incidentes utilizando esta metodología híbrida. Esta táctica, anteriormente asociada con grupos como Black Basta y FIN7, ha sido adoptada y perfeccionada por los operadores de 3AM, demostrando la rápida evolución de las amenazas cibernéticas.
Anatomía de un Ataque Multifacético
Un caso documentado en el primer trimestre de 2025 revela la complejidad de estos ataques. Los atacantes iniciaron con llamadas de phishing suplantando al departamento de TI corporativo, mientras bombardeaban simultáneamente a la víctima con 24 correos maliciosos en solo tres minutos. Esta coordinación demuestra un nivel sin precedentes de sofisticación operativa.
Infraestructura Técnica del Ataque
Los atacantes implementaron una infraestructura avanzada que incluye scripts VBS, emulador QEMU y un sistema Windows 7 comprometido con el backdoor QDoor. La utilización de máquinas virtuales QEMU permitió ocultar el tráfico malicioso, evadiendo los sistemas de detección tradicionales.
Impacto y Alcance de la Amenaza
A pesar de las medidas de seguridad implementadas, los atacantes lograron exfiltrar 868 GB de datos utilizando Backblaze y GoodSync. La respuesta rápida de los sistemas de seguridad limitó el impacto a un solo host comprometido, evitando una propagación más amplia del ransomware.
La protección contra estas amenazas emergentes requiere un enfoque integral de seguridad que incluya auditorías regulares de cuentas privilegiadas, implementación de soluciones XDR, políticas estrictas de ejecución de PowerShell y actualización continua de indicadores de compromiso. La capacitación del personal en reconocimiento de ingeniería social y la implementación de autenticación multifactor son fundamentales para mantener una postura de seguridad robusta frente a estas amenazas evolutivas.
