La operación de ransomware BlackBasta ha trasladado sus ataques de ingeniería social a Microsoft Teams, haciéndose pasar por servicios de asistencia corporativa que contactan a los empleados para ayudar con un ataque de spam en curso.
Black Basta es una operación de ransomware activa desde abril de 2022 y responsable de cientos de ataques contra empresas de todo el mundo.
Después de que el sindicato de cibercrimen Conti fuera cerrado en junio de 2022 tras una serie de vergonzosas filtraciones de datos, la operación se dividió en varios grupos, y se cree que una de estas facciones era Black Basta.
Los miembros de Black Basta piratean redes a través de una variedad de métodos, incluidas vulnerabilidades, asociaciones con botnets de malware e ingeniería social.
En Mayo, Rápido7 Y ReliaQuest ha publicado avisos de una nueva campaña de ingeniería social Black Basta que ha inundado las bandejas de entrada de los empleados específicos con miles de correos electrónicos. Estos correos electrónicos no eran de naturaleza maliciosa y consistían principalmente en boletines informativos, confirmaciones de registro y verificaciones de correo electrónico, pero rápidamente saturaban la bandeja de entrada del usuario.
Los actores de la amenaza luego llamaban al empleado abrumado y se hacían pasar por el servicio de asistencia de TI de su empresa para ayudarlo a resolver sus problemas de spam.
Durante este ataque de ingeniería social por voz, los atacantes engañan a la persona para que instale la herramienta de asistencia remota AnyDesk o proporcione acceso remoto a sus dispositivos Windows iniciando la herramienta de control remoto y uso compartido de la pantalla Windows Quick Assist.
A partir de ahí, los atacantes ejecutarían un script que instala varias cargas útiles, como ScreenConnect, NetSupport Manager y Cobalt Strike, que brindan acceso remoto continuo al dispositivo corporativo del usuario.
Ahora que la filial Black Basta tiene acceso a la red de la empresa, se propagaría lateralmente a otros dispositivos mientras aumentaba los privilegios, robaba datos y, en última instancia, implementaba el cifrador de ransomware.
Cambiar a equipos de Microsoft
En un nuevo informe de ReliaQuest, los investigadores observaron que los afiliados de Black Basta evolucionaron sus tácticas en octubre y ahora utilizan Microsoft Teams.
Como en el ataque anterior, los actores de la amenaza primero saturan la bandeja de entrada de un empleado con correos electrónicos.
Sin embargo, en lugar de llamarlos, los atacantes ahora contactan a los empleados a través de Microsoft Teams como usuarios externos, donde se hacen pasar por el servicio de asistencia de TI de la empresa que se comunica con el empleado para ayudarlo a resolver su problema de spam.
Las cuentas se crean bajo inquilinos de Entra ID cuyo nombre aparece como una mesa de ayuda, como por ejemplo:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com“Estos usuarios externos configuran su perfil con un” Nombre para mostrar “diseñado para hacer creer al usuario objetivo que se estaban comunicando con una cuenta de soporte”, explica el nuevo Informe ReliaQuest.
“En casi todos los casos que observamos, el nombre para mostrar incluía la cadena “Mesa de ayuda”, a menudo rodeada de espacios en blanco, lo que probablemente centra el nombre en el chat. También observamos que, por lo general, los usuarios específicos se agregaban a un grupo “OneOnOne”. discusión.
ReliaQuest afirma haber visto también actores de amenazas enviando códigos QR en chats, que conducen a dominios como qr-s1.[.]com. Sin embargo, no pudieron determinar para qué sirven estos códigos QR.
Los investigadores dicen que los usuarios externos de Microsoft Teams provienen de Rusia y que los datos de la zona horaria provienen regularmente de Moscú.
Una vez más, el objetivo es engañar al objetivo para que instale AnyDesk o inicie Quick Assist para que los delincuentes puedan acceder de forma remota a sus dispositivos.
Una vez que iniciaron sesión, se vio a los actores de amenazas instalando cargas útiles llamadas “AntispamAccount.exe”, “AntispamUpdate.exe” y “AntispamConnectUS.exe”.
Otros investigadores han informado sobre AntispamConnectUS.exe en VirusTotal como SistemaBCun malware proxy que Black Basta ha utilizado en el pasado.
En última instancia, se instala Cobalt Strike, lo que proporciona acceso completo al dispositivo comprometido para que sirva como trampolín para penetrar más en la red.
ReliaQuest sugiere que las organizaciones restrinjan la comunicación de usuarios externos en Microsoft Teams y, si es necesario, solo la permitan desde dominios confiables. También se debe habilitar el registro, especialmente para el evento ChatCreated, para verificar si hay chats sospechosos.