Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Microsoft bloquea ataques de ransomware Rhysida tras revocar 200 certificados falsos de Teams
Noticias

Microsoft bloquea ataques de ransomware Rhysida tras revocar 200 certificados falsos de Teams

por Dragora
Escrito por Dragora

Microsoft ha logrado detener una ola de ataques de ransomware Rhysida a principios de octubre de 2025, tras revocar más de 200 certificados digitales que eran utilizados por los atacantes para firmar instaladores maliciosos de Microsoft Teams. La medida neutralizó una sofisticada campaña de distribución de malware dirigida a usuarios de Windows, que había estado activa desde finales de septiembre.

El grupo de amenazas responsable, conocido como Vanilla Tempest (también rastreado como VICE SPIDER o Vice Society), empleó técnicas de envenenamiento SEO y publicidad maliciosa para propagar versiones falsas del instalador de Microsoft Teams. Su objetivo era comprometer sistemas empresariales e instalar la puerta trasera Oyster, un malware utilizado en múltiples operaciones de ransomware, incluyendo ataques recientes del ransomware Rhysida.

Una campaña cuidadosamente diseñada para parecer legítima

La investigación de Microsoft reveló que Vanilla Tempest creó dominios falsos que imitaban el sitio oficial de descarga de Teams, como:

  • 1
    teams-install[.]arriba

  • 1
    teams-download[.]zumbido

  • 1
    teams-download[.]top

  • 1
    teams-install[.]ejecutar

Estos dominios hospedaban copias falsas del instalador de Teams llamadas MSTeamsSetup.exe, idénticas al nombre del archivo original. Los atacantes impulsaban estos sitios mediante anuncios en motores de búsqueda y técnicas de optimización SEO manipulada, logrando que aparecieran en los primeros resultados de búsqueda.

Cuando los usuarios desprevenidos descargaban e instalaban el supuesto software, en realidad ejecutaban un cargador de malware firmado digitalmente que desplegaba la puerta trasera Oyster en los dispositivos comprometidos.

Oyster: el malware detrás de la operación

El malware Oyster, también conocido como Broomstick o CleanUpLoader, es una puerta trasera avanzada que otorga a los atacantes acceso remoto completo a los sistemas infectados. Una vez instalada, la herramienta permite:

  • Robar credenciales y archivos sensibles.

  • Ejecutar comandos arbitrarios.

  • Descargar y ejecutar cargas útiles adicionales, como troyanos o ransomware.

Vanilla Tempest lleva utilizando Oyster desde junio de 2025, aprovechando certificados de confianza legítimos emitidos por SSL.com, DigiCert y GlobalSign. Estos certificados eran empleados para firmar digitalmente los instaladores maliciosos, engañando a los sistemas de seguridad y evitando la detección.

El uso de firmas válidas otorgaba al malware un nivel de confianza similar al software original de Microsoft, dificultando que las soluciones antivirus o EDR lo bloquearan de inmediato.

Resultado de imagen de Vanilla Tempest: del espionaje al ransomware

Microsoft revoca más de 200 certificados comprometidos

Al detectar la campaña, los equipos de seguridad de Microsoft procedieron a revocar más de 200 certificados digitales utilizados en la operación. Esta acción fue clave para cortar la cadena de distribución, ya que los sistemas Windows y los navegadores modernos confían en los certificados válidos para autenticar la procedencia de las aplicaciones.

Según Microsoft, la revocación de estos certificados invalidó las firmas de los instaladores maliciosos, impidiendo que se ejecutaran sin advertencias de seguridad. Además, la compañía reforzó sus políticas de detección y colaboró con las autoridades y entidades emisoras de certificados para prevenir abusos similares en el futuro.

Vanilla Tempest: del espionaje al ransomware

El grupo Vanilla Tempest ha estado activo desde junio de 2021 y es conocido por su motivación económica y su uso de múltiples cepas de ransomware, como BlackCat (ALPHV), Quantum Locker, Zeppelin y Rhysida.

Anteriormente, operaba bajo el alias Vice Society, una de las bandas de ransomware más agresivas dirigidas al sector educativo y gubernamental. En septiembre de 2022, el FBI y la CISA emitieron una advertencia conjunta alertando que Vice Society había atacado de forma desproporcionada a instituciones educativas en Estados Unidos, incluido el Distrito Escolar Unificado de Los Ángeles (LAUSD).

Las tácticas actuales de Vanilla Tempest muestran una evolución hacia el uso combinado de técnicas de ingeniería social, SEO malicioso y abuso de certificados legítimos para lograr sus objetivos. Este enfoque híbrido le ha permitido alcanzar un alto nivel de éxito en campañas de distribución de malware.

Rhysida: el ransomware que sigue en expansión

El ransomware Rhysida se ha consolidado como una de las amenazas más activas de 2025. Utiliza tácticas de doble extorsión, en las que los atacantes cifran los datos de las víctimas y amenazan con publicarlos en la web oscura si no se paga el rescate.

Rhysida se ha vinculado a ataques contra sectores críticos, como salud, educación, manufactura e instituciones gubernamentales. En esta campaña, los operadores de Vanilla Tempest usaron Oyster como vector inicial para comprometer redes corporativas antes de desplegar el ransomware y realizar la exfiltración de datos.

Recomendaciones de seguridad

Microsoft insta a los usuarios y administradores de TI a seguir las siguientes medidas de mitigación:

  1. Descargar software únicamente desde fuentes oficiales, evitando enlaces publicitarios o sitios no verificados.

  2. Verificar la validez de los certificados digitales antes de ejecutar archivos descargados.

  3. Mantener actualizado Windows y Microsoft Defender, con firmas y definiciones de amenazas recientes.

  4. Implementar políticas de control de aplicaciones (AppLocker o SmartScreen) para bloquear instaladores no firmados o sospechosos.

  5. Formar al personal sobre ingeniería social y amenazas basadas en SEO o publicidad maliciosa.

Microsoft también ha reforzado sus mecanismos de seguridad en Teams y en su infraestructura de firma digital para detectar de forma proactiva cualquier abuso futuro de certificados legítimos.

En fin…

La rápida respuesta de Microsoft al revocar más de 200 certificados comprometidos demuestra la importancia de una vigilancia constante frente a las amenazas digitales. La campaña de Vanilla Tempest, que aprovechó la confianza del ecosistema de firma de código, evidencia cómo los actores de ransomware están adoptando tácticas más refinadas para infiltrarse en las organizaciones.

El caso Rhysida subraya que incluso los mecanismos de seguridad más confiables, como los certificados digitales, pueden ser explotados si no se supervisan de forma activa. Mantener políticas de descarga segura, actualizaciones constantes y monitoreo continuo es esencial para prevenir futuros ataques.

En un panorama donde los ciberdelincuentes combinan SEO malicioso, ingeniería social y abuso de confianza digital, la defensa debe ser igualmente inteligente, adaptable y colaborativa. Microsoft ha dado un paso crucial, pero la responsabilidad de reforzar la ciberseguridad recae en cada organización que depende de su tecnología.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!