Innovación

Ransomware 3AM usa Microsoft Teams para engañar empresas

Más de 55 intentos de ataque han sido registrados con ransomware 3AM, que usa Teams, vishing y máquinas virtuales para vulnerar a empresas.
Jueves, Junio 5, 2025

Una reciente investigación de Sophos X-Ops ha revelado una campaña de ciberataques altamente sofisticada que combina email bombing, vishing y suplantación de soporte en Microsoft Teams para instalar ransomware en empresas. En lo que va del año, ya se han registrado al menos 55 intentos de ataque utilizando esta nueva variante conocida como 3AM, vinculada a grupos como BlackSuit y Royal.

Los atacantes inician su ofensiva bombardeando con miles de correos electrónicos las bandejas de entrada de empleados específicos previamente identificados. Luego, realizan llamadas haciéndose pasar por personal técnico de TI —incluso falsificando números telefónicos— para solicitar acceso remoto a través de Microsoft Quick Assist. El objetivo: conseguir acceso administrativo sin levantar alertas.

Ataques silenciosos y personalizados

Una vez logran el acceso, despliegan una máquina virtual con un troyano preinstalado (QDoor) que permite operar sin ser detectados por la mayoría de herramientas de ciberseguridad. En algunos casos, los atacantes han permanecido infiltrados durante más de nueve días antes de ejecutar el ransomware.

“La combinación de vishing y email bombing continúa siendo una estrategia efectiva para los grupos de ransomware”, advierte Sean Gallagher, investigador de Sophos. “El grupo detrás de 3AM ha encontrado una forma de aprovechar la encriptación remota para evadir el software de seguridad tradicional”.

Urgente: reforzar políticas de acceso remoto

La investigación advierte que este tipo de ataques no solo elude los filtros convencionales, sino que aprovecha la ingeniería social para explotar el error humano. Las recomendaciones clave incluyen:

  • Capacitar al personal para identificar señales de vishing y suplantación vía Teams.

  • Restringir el uso de software de acceso remoto y bloquear ejecución de máquinas virtuales no autorizadas.

  • Implementar reglas estrictas de tráfico de red para entornos de soporte remoto.

"Para mantenerse protegidas, las empresas deben priorizar la concientización del personal y restringir estrictamente el acceso remoto", concluye Gallagher.