Microsoft frena campaña de ransomware Rhysida

Microsoft anunció haber desmantelado una reciente campaña del grupo de hackers Vanilla Tempest que buscaba distribuir el ransomware Rhysida.

El grupo, activo desde al menos 2021, ha realizado múltiples ataques de ransomware contra los sectores de educación y salud. Durante años utilizó distintos cifradores aunque en fechas recientes su actividad se ha centrado en Rhysida, una de las familias de ransomware más agresivas actualmente.

Microsoft informó que interrumpió la operación a inicios de octubre, después de revocar más de 200 certificados digitales que los atacantes usaban para firmar su malware. Estas firmas falsas daban apariencia legítima a archivos maliciosos, incluidos instaladores manipulados de Microsoft Teams.

Los investigadores explican que los archivos falsos de Teams contenían incluían la puerta trasera Oyster, usada por Vanilla Tempest desde 2025 para desplegar el ransomware Rhysida. y se distribuían desde dominios falsos como teams-download.buzz y teams-install.run, posicionados mediante envenenamiento SEO.

La compañía advirtió que su intervención dificultará la detección del malware y afectará temporalmente la operación de Vanilla Tempest, aunque no descarta que los atacantes se reagruparán con nuevos certificados y tácticas.

No olvides suscribirte a nuestro canal de YouTube y seguirnos a través de nuestras redes sociales (Facebook, X, LinkedIn e Instagram) para estar informado con las noticias más relevantes de tecnología y ciberseguridad. Adicionalmente, conocerás más detalles sobre todos los productos y/o servicios de ciberseguridad que ofrece Quanti para ti.