La operación de ransomware Black Basta ha cambiado sus tácticas de ingeniería social, usando Microsoft Teams para disfrazarse de soporte técnico. Los ciberdelincuentes contactan a empleados, presentándose como asistencia corporativa, con la excusa de resolver problemas de spam que ellos mismos generan.

Tras la disolución del grupo malicioso Conti en junio de 2022, se especula que sus miembros formaron varias facciones, una de ellas Black Basta, quien ha perpetrado cientos de ataques en todo el mundo desde entonces. Este grupo compromete redes corporativas mediante exploits de seguridad, malware, botnets e ingeniería social.

Investigadores de Rapid7 y ReliaQuest advirtieron sobre un ataque en el que los actores de amenazas abrumaban las bandejas de entrada de empleados con miles de correos electrónicos, principalmente boletines y registros, para luego llamarlos haciéndose pasar por soporte de TI. Con este pretexto, persuadían a las víctimas a instalar herramientas como AnyDesk o Quick Assist, otorgando acceso remoto y ejecutando cargas útiles como ScreenConnect y Cobalt Strike.

Recientemente, los atacantes están empleando Microsoft Teams. Saturando el correo del empleado con spam antes de contactarlo en Teams como usuarios externos, simulando ser del departamento de TI. Usando cuentas creadas en inquilinos de Entra ID con nombres como:

  • securityadminhelper[.]onmicrosoft[.]com
  • supportserviceadmin[.]onmicrosoft[.]com
  • supportadministrator[.]onmicrosoft[.]com
  • cybersecurityadmin[.]onmicrosoft[.]com

Los atacantes inician un chat con el objetivo, bajo un perfil diseñado para aparentar que se trata de soporte técnico.

Al lograr el acceso, instalan herramientas bajo nombres «AntispamAccount[.]exe» o «AntispamConnectUS[.]exe» (variantes de SystemBC).

La última fase de la infección despliega Cobalt Strike, otorgando acceso completo al sistema y permitiendo moverse por la red.

Fuente:

Black Basta ransomware poses as IT support on Microsoft Teams to breach networks