Esto es algo que se dice repetidamente aquí en Make Tech Easier, mientras informamos la noticia: cada vez que los estafadores y los malos actores desarrollan un nuevo ataque, la industria tecnológica encuentra una manera de luchar y cerrar esa vulnerabilidad. Esto hace que los atacantes vuelvan a la mesa de dibujo y creen un nuevo ataque. Simplemente continúa una y otra vez. El punto de ataque más nuevo para el ransomware son los centros de llamadas. ¿Forzará esto a Microsoft a mejorar su juego para contraatacar?
Ataque de ransomware a centros de llamadas
Si bien esta batalla ahora se ha intensificado hasta que los atacantes se envalentonaron para establecer centros de llamadas falsos, significa que la pelota está en la cancha de Microsoft para detenerlos. Microsoft tiene un equipo de investigadores de ciberseguridad en el caso. Están detrás del grupo BazarCall para el ataque de ransomware que afectó a los centros de llamadas.
Los usuarios que realizan una llamada a los centros de llamadas terminan con sus PC infectadas con un cargador de malware conocido como BazarLoader que distribuye malware.
El grupo BazarCall (también conocido como Bazacall) ha estado en esto desde principios de año. Usan operadores de centros de llamadas para convencer a las personas que llaman de que instalen BazarLoader en sus PC.

Brad Duncan, de la empresa de ciberseguridad de Palo Alto Networks, describió el ataque diciendo: «Después de que un cliente se infecta, los delincuentes utilizan este acceso de puerta trasera para enviar malware de seguimiento, escanear el entorno y explotar otros hosts vulnerables en la red».
El ataque comienza cuando un usuario de Windows recibe un correo electrónico de phishing. Esto les informa que la prueba de suscripción ha expirado y que se les cobrará una tarifa. Para evitar esto, deben llamar y cancelar.
El enfoque del equipo de inteligencia de seguridad de Microsoft está en los correos electrónicos que se dirigen a los usuarios de Office 365. Un correo electrónico de muestra es de los atacantes que afirman ser de una empresa de tecnología. El correo electrónico dice que se le cobrará al usuario cuando una demostración caduque en 24 horas.
“Cuando los destinatarios llaman al número, un centro de llamadas fraudulento operado por los atacantes les indica que visiten un sitio web y descarguen un archivo de Excel para cancelar el servicio. El archivo de Excel contiene una macro maliciosa que descarga la carga útil ”, describió el equipo de seguridad.

El equipo de Microsoft también dijo que el kit de prueba de penetración Cobalt Strike se usa para obtener credenciales. El kit se usa a menudo después de que un sistema se ve comprometido inicialmente. Entre la información robada se encuentra la base de datos de Active Directory que incluye información de identidad y credenciales recopilada por Cobalt Strike.
Después del ataque
Una vez más, esto es solo parte de una situación de todos contra todos y es un poco alarmante considerar a dónde conducirá a continuación. BazarCall usó un ataque familiar, pero lo llevó a cabo de tal manera que los usuarios se quedaron desprevenidos. No todos los usuarios esperarían que los centros de llamadas a los que se dirigen iniciaran un ataque de ransomware.
Pero ahora que el equipo de seguridad de Microsoft está en BazarCall y descubrió el ataque, los ciberdelincuentes se verán obligados a pasar a un nuevo plan destructivo. Y ahí es donde entra la alarma: ¿qué harán a continuación los atacantes? ¿Cómo mejorarán su juego esta vez?
Siga leyendo para obtener más información sobre el ransomware y cómo protegerse. Aprenda también a habilitar la protección contra ransomware en Windows Defender.