Grupo Black Basta Explora Microsoft Teams em Ataques Avançados de Engenharia Social
Brasiline
30 de outubro de 2024

Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia

O notório grupo de ransomware Black Basta intensificou suas táticas de engenharia social para obter acesso não autorizado aos sistemas e dados confidenciais de organizações. Recentemente, a empresa de segurança cibernética ReliaQuest revelou uma campanha sofisticada na qual os operadores de ransomware utilizam o Microsoft Teams e códigos QR maliciosos para facilitar o acesso inicial.

Black Basta, anteriormente conhecido por sobrecarregar os usuários com e-mails de spam e se passar por equipes legítimas de help-desk, aprimorou suas técnicas, adicionando abordagens de phishing via mensagens de bate-papo do Microsoft Teams.

Nessas interações, os invasores incluem os usuários-alvo em chats com contas externas de locatários fraudulentos do Entra ID, disfarçados de administradores ou suporte técnico. Os invasores adotam nomes de exibição projetados para enganar, levando os usuários a acreditarem que estão interagindo com uma equipe de suporte legítima.

A investigação revelou que os ataques têm origem, em sua maioria, na Rússia. Além do Microsoft Teams, o Black Basta inovou no uso de códigos QR para ataques de phishing. As mensagens de bate-papo trazem códigos QR disfarçados de imagens legítimas, vinculadas à marca da organização. Esses códigos direcionam as vítimas para infraestrutura maliciosa, estabelecendo bases para ataques subsequentes, como o uso de ferramentas de monitoramento e gerenciamento remoto (RMM).

Táticas Observadas

O Black Basta adapta os domínios de phishing para corresponder à organização-alvo, utilizando subdomínios cuidadosamente nomeados. Em um caso recente, o grupo enviou aproximadamente 1.000 e-mails para um único usuário em menos de uma hora. A execução bem-sucedida de arquivos maliciosos por meio de ferramentas RMM levou ao uso do Cobalt Strike para beaconing e dos módulos Impacket para movimentos laterais em redes comprometidas, sugerindo a implantação futura de ransomware como objetivo final.

Medidas de Mitigação Recomendadas

Para combater essa ameaça crescente, recomenda-se as seguintes ações:

  • Bloquear domínios e subdomínios maliciosos conhecidos.
  • Desabilitar a comunicação com usuários externos no Microsoft Teams ou restringir a domínios confiáveis.
  • Configurar políticas anti-spam agressivas em ferramentas de segurança de e-mail.
  • Ativar logs para o Microsoft Teams, em especial o evento ChatCreated, para melhorar a detecção e investigação.

Adicionalmente, as organizações devem promover uma conscientização contínua entre os colaboradores sobre as táticas de engenharia social. Treinamentos regulares de segurança e uma cultura de vigilância são essenciais para manter os colaboradores informados sobre os métodos atuais de ataque.

Conclusão

Com a adaptação constante das táticas do Black Basta, as organizações precisam manter-se proativas. Informar-se sobre as ameaças mais recentes, implementar protocolos de segurança robustos e incentivar uma cultura de segurança cibernética são ações fundamentais para mitigar o risco de ataques sofisticados de ransomware.

Fonte

Fique Por Dentro das Principais Ameaças Cibernéticas

Acompanhe os boletins de cibersegurança da Brasiline Tecnologia para se manter informado sobre os mais recentes ataques, tendências e estratégias de proteção digital. Com nossas análises especializadas, você estará sempre à frente das ameaças que podem comprometer a segurança da sua empresa.

Proteja seu futuro digital com conhecimento!

Mais Recentes
Ghost Tap: A Nova Ameaça de Saque Usando NFC Relay
Brasiline
26 de novembro de 2024
Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia Os agentes de ameaça estão sofisticando suas táticas de saque: […]
Ameaças Digitais na Black Friday: Como os Cibercriminosos Exploram o Comércio Online e a Dark Web
Brasiline
21 de novembro de 2024
Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia O comércio eletrônico cresce exponencialmente, tornando-se um dos alvos favoritos […]
BlueNoroff: Grupo Norte-Coreano Intensifica Ataques ao Setor de Criptomoedas com Malware Oculto no macOS
Brasiline
12 de novembro de 2024
Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia As ameaças cibernéticas às empresas de criptomoedas continuam a evoluir, […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?