Especialistas em segurança da ReliaQuest relataram que afiliados do grupo de ransomware Black Basta começaram a utilizar o Microsoft Teams para invadir redes empresariais, assumindo identidades falsas de suporte de TI para enganar funcionários e obter acesso não autorizado.
A técnica consiste em sobrecarregar a caixa de entrada de um funcionário com e-mails de spam, o que gera confusão e uma necessidade legítima de suporte. Aproveitando esse momento, os operadores do ransomware entram em contato via Microsoft Teams, apresentando-se como equipe de suporte técnico e oferecendo “ajuda” com o problema de spam.
Táticas aprimoradas de engenharia social com Microsoft Teams
O relatório da ReliaQuest destaca que, anteriormente, os ataques envolviam o uso massivo de spam para incentivar a abertura de tíquetes de help desk. No entanto, os invasores evoluíram a tática, optando por utilizar mensagens diretas no Teams e QR codes maliciosos, facilitando o acesso inicial ao sistema-alvo.
Os invasores frequentemente sugerem que as vítimas baixem ferramentas de monitoramento e acesso remoto, como o AnyDesk. Após esse primeiro contato, eles rapidamente ganham controle do ambiente, facilitando o lançamento do ransomware.
Em um caso observado, um único usuário recebeu cerca de 1.000 e-mails em menos de uma hora. Os atacantes também utilizam perfis falsos de suporte técnico para adicionar os funcionários-alvo em conversas do Microsoft Teams, com nomes criados a partir de contas externas em domínios como:
Notícias Relacionadas
Ataques Cibernéticos
Novos ataques em nuvem da TeamTNT para mineração de criptomoedas
O grupo TeamTNT intensifica ataques em ambientes nativos da nuvem, visando servidores Docker para mineração de criptomoedas, utilizando novas táticas e estratégias de monetização.
Ransomware Avançado
Crescimento do ransomware Fog: vulnerabilidades em VPNs SonicWall
Operações de ransomware, como Fog e Akira, exploram vulnerabilidades em VPNs SonicWall, comprometendo redes corporativas. Descubra as táticas utilizadas.
- cibersegurançaadmin.onmicrosoft[.]com
- securityadminhelper.onmicrosoft[.]com
- supportserviceadmin.onmicrosoft[.]com
- supportadministrator.onmicrosoft[.]com
Nova ameaça: QR Codes e identidades falsas
Esses perfis são cuidadosamente configurados para aparentar legitimidade, incluindo o termo “Help Desk” em destaque. Essa prática visa enganar o usuário e simular uma conversa real com a equipe de suporte.
Além disso, o ataque utiliza códigos QR em tentativas de “quishing” para direcionar as vítimas a baixar malwares específicos e ferramentas de infiltração, como o Cobalt Strike. Pesquisadores associaram o Black Basta a esses ataques devido a padrões recorrentes nos domínios utilizados e na configuração do Cobalt Strike. Também foi observado que a maioria das atividades se origina da Rússia, operando no fuso horário de Moscou.
A ReliaQuest recomenda limitar o contato externo no Teams e monitorar chats suspeitos para evitar esse tipo de ataque. Embora o Black Basta esteja constantemente ajustando suas táticas para confundir as defesas, o comportamento pós-exploração mantém semelhanças com atividades detectáveis por ferramentas de segurança atuais.
