Un grupo de ransomware notorio está difundiendo anuncios falsos de Microsoft Teams para atrapar víctimas

Los usuarios que buscan Microsoft Teams deben tener mucho cuidado últimamente, ya que el grupo de ransomware Rhysida ha estado promoviendo anuncios falsos para engañar a las personas y que descarguen malware. La firma de ciberseguridad Expel descubrió que estos anuncios engañosos entregan un tipo de malware llamado OysterLoader, que anteriormente se conocía como Broomstick y CleanUpLoader. Esta no es la primera vez que Rhysida se hace pasar por Microsoft Teams; de hecho, es su segunda campaña en apenas un año y medio. OysterLoader actúa como una herramienta de acceso inicial (IAT), lo que significa que una vez instalado, abre una puerta trasera en el dispositivo y la red de la víctima, permitiendo a los atacantes mantener acceso a largo plazo.\n\nEl método de ataque aquí es bastante ingenioso y depende en gran medida del malvertising. Rhysida compra anuncios en el motor de búsqueda Bing que parecen legítimos y dirigen a los usuarios a páginas de descarga que parecen oficiales pero que en realidad son maliciosas. Aaron Walton, analista de inteligencia de amenazas en Expel, explicó que estos anuncios facilitan que las víctimas encuentren y descarguen el malware porque está justo ahí en los resultados de búsqueda. Aunque Microsoft Teams es el cebo actual, el grupo ha utilizado anteriormente otras aplicaciones populares como PuTTY y Zoom para atraer víctimas.\n\nPara dificultar la detección, Rhysida usa herramientas de empaquetado que ocultan las funciones reales del malware, lo que resulta en bajas tasas de detección cuando el malware aparece por primera vez. El grupo también emplea certificados de firma de código que normalmente están reservados para editores de software genuinos. Este truco aumenta la confiabilidad de sus archivos maliciosos y les ayuda a evitar sospechas inmediatas. Curiosamente, estos certificados tienden a ser revocados rápidamente, lo que en realidad ayuda a las firmas de seguridad a detectar cuándo comienzan nuevas oleadas de la campaña, ya que los certificados nuevos indican nuevos lotes de malware siendo liberados.\n\nAdemás de OysterLoader, Rhysida también está desplegando otro malware llamado Latrodectus para el acceso inicial a la red. Expel observó esto mientras analizaba archivos para desarrollar reglas de detección. Rhysida se destaca entre los grupos cibercriminales porque usa el servicio Trusted Signing de Microsoft para adquirir certificados de firma de código, algo diseñado para prevenir el mal uso de certificados. Parece que han encontrado formas de eludir las protecciones integradas destinadas a detener este tipo de abuso.\n\nOriginado como Vice Society en 2021, el grupo se renombró como Rhysida en 2023 y opera bajo un modelo de Ransomware como Servicio (RaaS) con una táctica de doble extorsión. Desde entonces, han listado públicamente alrededor de 200 víctimas en su sitio de filtración de datos, incluyendo agencias gubernamentales, proveedores de salud e infraestructura crítica. Víctimas notables de este año incluyen el Departamento de Calidad Ambiental de Oregón, el Centro Médico Regional de Cookville en Tennessee, el Grupo Médico Sunflower en Kansas y la Alianza de Cuidado Comunitario enfocada en enfermedades mentales y adicciones. También han atacado al Departamento de Transporte de Maryland y a la Biblioteca Británica.\n\nEstos desarrollos subrayan los riesgos continuos que plantean grupos sofisticados de ransomware como Rhysida, que adaptan continuamente sus tácticas para evadir la detección y maximizar el impacto. Es un recordatorio contundente para organizaciones e individuos por igual de mantenerse vigilantes, especialmente al descargar software de fuentes en línea. Siempre verifique los enlaces de descarga a través de canales oficiales para evitar caer en estos esquemas maliciosos.