El ransomware Black Basta se hace pasar por soporte de TI en Microsoft Teams para vulnerar las redes
La operación de ransomware BlackBasta ha trasladado sus ataques de ingeniería social a Microsoft Teams, haciéndose pasar por mesas de ayuda corporativas que contactan a los empleados para ayudarlos con un ataque de spam en curso.
Black Basta es una operación de ransomware activa desde abril de 2022 y responsable de cientos de ataques contra corporaciones de todo el mundo.
Después de que el sindicato de delitos cibernéticos Conti cerró en junio de 2022 tras una serie de vergonzosas violaciones de datos , la operación se dividió en varios grupos , y se cree que una de estas facciones es Black Basta. Los miembros de Black Basta violan las redes a través de varios métodos, incluidas vulnerabilidades , asociaciones con botnets de malware e ingeniería social.
En mayo, Rapid7 y ReliaQuest publicaron avisos sobre una nueva campaña de ingeniería social llamada Black Basta que inundó las bandejas de entrada de los empleados seleccionados con miles de correos electrónicos. Estos correos electrónicos no eran de naturaleza maliciosa, en su mayoría consistían en boletines informativos, confirmaciones de registro y verificaciones de correo electrónico, pero rápidamente saturaron la bandeja de entrada de los usuarios.
Los actores de amenazas luego llamarían al empleado abrumado , haciéndose pasar por el servicio de asistencia informática de su empresa para que los ayudara con sus problemas de spam.
Durante este ataque de ingeniería social de voz, los atacantes engañan a la persona para que instale la herramienta de soporte remoto AnyDesk o proporcione acceso remoto a sus dispositivos Windows iniciando la herramienta de control remoto y uso compartido de pantalla Windows Quick Assist.
Desde allí, los atacantes ejecutarían un script que instala varias cargas útiles, como ScreenConnect, NetSupport Manager y Cobalt Strike, que proporcionan acceso remoto continuo al dispositivo corporativo del usuario.
Ahora que la filial de Black Basta ha obtenido acceso a la red corporativa, se propagaría lateralmente a otros dispositivos mientras elevaba privilegios, robaba datos y, en última instancia, implementaba el cifrador ransomware.
Migración a Microsoft Teams
En un nuevo informe de ReliaQuest, los investigadores observaron que los afiliados de Black Basta evolucionaron sus tácticas en octubre y ahora utilizan Microsoft Teams.
Al igual que en el ataque anterior, los actores de amenazas primero saturan la bandeja de entrada de un empleado con correos electrónicos.
Sin embargo, en lugar de llamarlos, los atacantes ahora contactan a los empleados a través de Microsoft Teams como usuarios externos, donde se hacen pasar por el servicio de asistencia de TI corporativo y se comunican con el empleado para ayudarlo con su problema de spam.
Las cuentas se crean bajo inquilinos de Entra ID que tienen un nombre que parece ser de soporte técnico, como:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com“Estos usuarios externos configuran sus perfiles con un “Nombre para mostrar” diseñado para hacer creer al usuario objetivo que se estaba comunicando con una cuenta de soporte técnico”, explica el nuevo informe de ReliaQuest .
“En casi todos los casos que hemos observado, el nombre para mostrar incluía la cadena “Help Desk”, a menudo rodeada de espacios en blanco, lo que probablemente centra el nombre dentro del chat. También observamos que, por lo general, se añadían usuarios específicos a un chat “OneOnOne”.”
ReliaQuest afirma que también han visto a los actores de amenazas enviando códigos QR en los chats, que conducen a dominios como qr-s1[.]com. Sin embargo, no pudieron determinar para qué se utilizan estos códigos QR.
Los investigadores dicen que los usuarios externos de Microsoft Teams provienen de Rusia y que los datos de zona horaria suelen ser de Moscú.
El objetivo es engañar una vez más al objetivo para que instale AnyDesk o inicie Quick Assist para que los actores de la amenaza puedan obtener acceso remoto a sus dispositivos.
Una vez conectados, se vio a los actores de amenazas instalando cargas útiles llamadas “AntispamAccount.exe”, “AntispamUpdate.exe” y “AntispamConnectUS.exe”.
Otros investigadores han marcado a AntispamConnectUS.exe en VirusTotal como SystemBC , un malware proxy que Black Basta utilizó en el pasado .
Finalmente, se instala Cobalt Strike, que proporciona acceso total al dispositivo comprometido para que actúe como trampolín para avanzar más en la red.
ReliaQuest sugiere que las organizaciones restrinjan la comunicación de usuarios externos en Microsoft Teams y, si es necesario, solo la permitan desde dominios de confianza. También se debe habilitar el registro, especialmente para el evento ChatCreated, para encontrar chats sospechosos.
Comentalo en FB