Grupo de ransomware usa Microsoft Teams para chegar às vítimas

Publicado em por

hacker em frente de computador

O grupo de ransomware BlackBasta tem vindo a usar uma nova técnica para enganar as potenciais vítimas. Agora, o grupo encontra-se a usar o Microsoft Teams como forma de comunicar diretamente com as vítimas, fazendo-se passar por suporte técnico da Microsoft.

A ideia será usar a ferramenta da Microsoft como forma de manter algum nível de credibilidade, usando a mesma para realizar ataques diretos a empresas. O objetivo passa ainda por tentar obter acesso a redes internas e instalar malware no máximo de sistemas possíveis, com a capacidade de futuramente instalar ransomware nos mesmos.

O BlackBasta é um grupo que se encontra ativo desde abril de 2022, e tem vindo a ser responsável por centenas de ataques contra grandes empresas a nível mundial. O grupo tenta obter acesso às redes internas das empresas através de diferentes ataques e formatos, entre os quais a exploração de falhas.

Uma das formas de atuação do grupo passa por atacar diretamente um funcionário da empresa, sobrecarregando o mesmo. Por exemplo, várias empresas de segurança identificaram em Maio que o grupo regularmente enviava campanhas com milhares de emails contra um funcionário, com mensagens de Spam, e no meio da confusão ligavam para o mesmo a tentar ajudar na tarefa.

Depois disso, o grupo leva os funcionários a instalarem ferramentas de controlo remoto do sistema, como o Anydesk, e acabam por obter dessa forma acesso ao sistema e a potenciais redes internas onde o mesmo se encontre.

O uso do Microsoft Teams é mais recente, mas vai dentro de encontro da mesma ideia. Invés de realizar uma chamada telefónica para as vítimas, os atacantes usam o Teams como forma de realizar a ligação, fazendo-se passar por assistentes da Microsoft, e oferecendo ajuda para os mais variados problemas técnicos que possam estar a surgir. No final, os funcionários são aliciados a instalarem programas de controlo remoto do sistema nas suas máquinas, ou até mesmo malware diretamente descarregado de sites suspeitos.

Os investigadores apontam que a maioria dos contactos encontram-se a ser feitos com origem na Rússia, tendo em conta a data que se encontra nos sistemas que foram identificados de origem dos ataques.

Como sempre, é importante ter atenção a qualquer contacto feito via fontes externas e suspeitas, sobretudo com tarefas que aparentem ser incomuns, e no caso de grandes empresas, deve ser feita a análise das atividades dos funcionários e campanhas de prevenção contra ataques deste formato.