Ransomware Black Basta usando o Microsoft Teams

06/11/2024 mindsecblog Notícias 4

Operadores de ransomware Black Basta usando o Microsoft Teams para violar organizações

O notório grupo de ransomware conhecido como “Black Basta” intensificou suas táticas de engenharia social para obter acesso não autorizado aos sistemas e dados confidenciais das organizações.

A ReliaQuest, uma empresa líder em segurança cibernética, descobriu recentemente uma campanha sofisticada envolvendo o uso de mensagens de bate-papo do Microsoft Teams e códigos QR maliciosos para facilitar o acesso inicial.

Black Basta, anteriormente conhecido por sobrecarregar os usuários com spam de e-mail e se passar por uma equipe legítima de help-desk, agora avançou em suas técnicas.

Em incidentes recentes, os invasores têm usado mensagens de bate-papo do Microsoft Teams para se comunicar com usuários-alvo, adicionando-os a bate-papos com usuários externos que operam a partir de locatários fraudulentos do Entra ID.

Esses usuários externos, disfarçados de equipe de suporte, administrador ou suporte técnico, usam nomes de exibição projetados para enganar os usuários-alvo e fazê-los acreditar que estão se comunicando com contas genuínas de suporte técnico.

A investigação da ReliaQuest revelou que as ações dos invasores geralmente se originavam da Rússia, com dados de fuso horário registrados pelo Teams regularmente apresentando Moscou.

Além do uso do Microsoft Teams, o Black Basta introduziu códigos QR em seu arsenal de phishing. Os usuários-alvo recebem códigos QR nesses bate-papos, disfarçados de imagens de código QR da empresa com marca legítima.

Os domínios usados para essa atividade de phishing de código QR são adaptados para corresponder à organização de destino, com subdomínios seguindo uma convenção de nomenclatura específica.

Embora o propósito exato desses códigos QR permaneça obscuro, suspeita-se que eles direcionem os usuários para mais infraestrutura maliciosa, estabelecendo as bases para técnicas de engenharia social de acompanhamento e a implantação de monitoramento e gerenciamento remotos de ferramentas RMM.

A campanha Black Basta representa uma ameaça significativa para organizações em diversos setores e geografias.

A ReliaQuest observou uma intensidade alarmante nas atividades do grupo, com um incidente envolvendo aproximadamente 1.000 e-mails bombardeando um único usuário em apenas 50 minutos.

A execução bem-sucedida de arquivos maliciosos baixados por meio de ferramentas RMM levou ao beaconing Cobalt Strike e ao uso de módulos Impacket para movimento lateral em redes comprometidas.

O objetivo final desses ataques é quase certamente a implantação de ransomware.

Mitigações recomendadas

Para combater essa ameaça em evolução, a ReliaQuest recomenda várias medidas:

Bloqueando domínios e subdomínios mal-intencionados identificados
Desabilitar a comunicação de usuários externos no Microsoft Teams ou permitir domínios confiáveis específicos
Configurando políticas anti-spam agressivas em ferramentas de segurança de e-mail
Habilitar o log para o Microsoft Teams, particularmente o evento ChatCreated, para facilitar a detecção e a investigação

Além disso, as organizações devem garantir que os funcionários permaneçam vigilantes contra as táticas atuais de engenharia social, fornecendo treinamento contínuo e programas de conscientização.

Essa vigilância deve ser combinada com uma estratégia robusta de defesa em profundidade, incorporando várias camadas de medidas de segurança, como firewalls, sistemas de detecção de intrusão e auditorias de segurança regulares.

À medida que a Black Basta continua a adaptar suas táticas, as organizações devem permanecer proativas em seus esforços de segurança cibernética. Ao manter-se informado sobre as ameaças mais recentes, implementar protocolos de segurança abrangentes e promover uma cultura de conscientização sobre segurança cibernética, as organizações podem reduzir significativamente o risco de serem vítimas desses sofisticados ataques de ransomware.