Cada vez son más sofisticados, más silenciosos y más convincentes. Los ataques de ransomware han dejado de depender únicamente de brechas técnicas: ahora explotan la confianza, el estrés y la distracción de las personas. Un afiliado del ransomware 3AM ha perfeccionado esta estrategia, combinando llamadas falsificadas de soporte técnico con bombardeos masivos de correos electrónicos, en ataques altamente dirigidos diseñados para que los trabajadores revelen credenciales de acceso remoto a los sistemas corporativos.
Esta táctica de ingeniería social, que antes se había visto en ataques vinculados a grupos como Black Basta y FIN7, ha demostrado ser tan eficaz que está siendo adoptada por otros actores de amenazas. De hecho, entre noviembre de 2024 y enero de 2025 se han detectado decenas de incidentes relacionados con esta técnica, lo que subraya su creciente popularidad entre los cibercriminales.
¿Cómo funciona el ataque de ransomware 3AM?
Este tipo de ataque sigue casi al pie de la letra las tácticas que ya había usado el grupo Black Basta: bombardeo de correos electrónicos, llamadas falsas (vishing) por Microsoft Teams, y abuso de herramientas como Quick Assist para tomar control remoto de los equipos. De hecho, cuando se filtraron las conversaciones internas de ese grupo, muchos otros actores aprovecharon la información. La filtración incluía incluso plantillas listas para usar en campañas de phishing a través de Teams, suplantando a personal del soporte técnico interno. Eso les dio a muchos cibercriminales una base sólida para replicar y adaptar sus ataques.
Uno de esos casos fue un ataque de ransomware 3AM a principios de 2025. En lugar de usar Teams, los atacantes dieron un paso más audaz: hicieron una llamada telefónica real. No solo eso, sino que falsificaron el número del departamento de TI de la empresa, haciendo que la llamada pareciera completamente legítima. Todo esto ocurrió mientras la víctima recibía una lluvia de correos electrónicos: 24 mensajes en solo tres minutos. Caos puro.
Durante la llamada, el atacante le dijo al trabajador que se había detectado actividad sospechosa en su equipo y le pidió que abriera Microsoft Quick Assist. Una vez que el atacante tuvo acceso remoto, descargó un archivo malicioso desde un dominio que parecía auténtico. Ese archivo contenía un script en VBS, un emulador QEMU y una imagen de Windows 7 ya preparada con una puerta trasera conocida como QDoor.
Gracias a QEMU, el atacante pudo ocultar su actividad. Todo el tráfico pasaba por una máquina virtual, lo que le permitió moverse dentro de la red sin ser detectado. Desde ahí, hizo un reconocimiento del sistema usando PowerShell y WMIC, creó una nueva cuenta de administrador local para conectarse más tarde por RDP, instaló una herramienta de acceso remoto legítima llamada XEOXRemote, y finalmente comprometió una cuenta de administrador de dominio.
Aunque las soluciones de seguridad de la víctima lograron bloquear algunos movimientos del atacante (como el intento de moverse lateralmente por la red o desactivar defensas clave), no pudieron evitar el robo de información. El atacante consiguió extraer 868 GB de datos y los subió a una cuenta en la nube a través de GoodSync, una herramienta pensada para copias de seguridad.
Al final, los sistemas de seguridad también impidieron que el ransomware 3AM cifrara toda la red, pero el daño ya estaba hecho: pérdida de datos, una máquina cifrada y un acceso que casi pasa desapercibido.
La nota de rescate publicada a las 3 a. m (Fuente: Sophos)
El ataque duró nueve días, aunque el robo de datos terminó al tercer día, justo antes de que el equipo de seguridad lograra bloquear a los atacantes y evitar que se siguieran moviendo por la red.
Después del incidente, se compartieron varias recomendaciones para prevenir este tipo de ataques en el futuro. Por ejemplo, revisar las cuentas administrativas para detectar configuraciones débiles o permisos innecesarios, y usar soluciones XDR (detección y respuesta extendida) para bloquear herramientas legítimas que no deberían estar ahí, como QEMU o GoodSync, que los atacantes suelen aprovechar para evadir detecciones.
Otra medida clave es restringir la ejecución de scripts solo a los que estén firmados y aprobados por la empresa, usando políticas de PowerShell. Esto ayuda a cortar una vía común de ejecución de malware.
También es importante usar los indicadores de compromiso conocidos (es decir, huellas digitales de los atacantes) para crear listas de bloqueo y filtrar conexiones desde fuentes maliciosas.
Ahora bien, por muy buena que sea la tecnología, ataques como el bombardeo de correos y el phishing por voz (vishing) solo pueden prevenirse de forma efectiva si los trabajadores están bien informados y preparados. Sin conciencia ni formación, todo lo demás se queda corto. Vale la pena recordar que esta campaña del ransomware 3AM empezó a finales de 2023 y con el tiempo se le ha vinculado con grupos peligrosos como Conti y Royal, lo que deja claro que no es obra de principiantes.
En TecnetOne contamos con un SOC (Centro de Operaciones de Seguridad) que integra capacidades XDR para ofrecer monitoreo continuo, correlación de eventos y respuestas automatizadas frente a amenazas en tiempo real. Esto nos permite detectar comportamientos anómalos, identificar el uso sospechoso de herramientas del sistema y reaccionar rápidamente ante intentos de intrusión, incluso cuando se usan técnicas avanzadas de evasión.
Además, gestionamos alertas centralizadas, aplicamos reglas personalizadas de seguridad y damos visibilidad completa sobre los endpoints y servidores críticos, lo que fortalece la protección frente a ataques como el ransomware 3AM.
