Black Basta ha utilizado la plataforma de comunicación Microsoft Teams para desplegar ataques de ‘ransomware’ haciéndose pasar por personal del equipo de soporte de la empresa y contactar con sus víctimas con la excusa de ayudarles para solventar un ataque de ‘spam’ en curso.
Esta operación se enmarca en las acciones de este grupo de ciberdelincuencia organizado, cuyas acciones delictivas se advirtieron por primera vez en abril de 2022, y que figura como responsable de cientos de ataques contra corporaciones de todo el mundo.
Black Basta opera bajo el modelo de ‘ransomware’ como servicio (RaaS), que permite a los desarrolladores de este tipo de ‘malware’ vender paquetes de código malicioso a otros ciberdelincuentes a través de la ‘dark web’.
Desde su aparición, el grupo demostró una actividad destacada en Estados unidos, aunque también ha llegado a otros países europeos, como Austria, Italia y Reino Unido, tal y como recuerda el Instituto Nacional de Ciberseguridad (INCIBE).
Las firmas desarrolladoras de ‘software’ Rapid7 y ReliaQuest señalaron en mayo de 2023 haber descubierto una campaña de ingeniería social atribuida a Black Meta, que colapsó las bandejas de entrada de los correos electrónicos de sus empleados.
Estas comunicaciones no eran de naturaleza maliciosa, sino que la gran mayoría eran boletines informativos, confirmaciones de registro y verificaciones de correo electrónico, tal y como recuerda Bleeping Computer.
Sin embargo, tras el envío de varios ’emails’ a sus direcciones, los actores de amenazas se pusieron en contacto con estos trabajadores por vía telefónica, haciéndose pasar por el servicio de asistencia informática de sus empresas para solucionar el presunto error.
En esa llamada, animaban a las víctimas a instalar la herramienta de soporte remoto AnyDesk o bien a que les proprocionaran acceso remoto a sus dispositivos Windows utilizando la herramienta de uso compartido de llamada Windows Quick.
A través de ellas, los agentes maliciosos ejecutaban un ‘script’ capaz de instalar varias cargas útiles que proporcionaban acceso remoto continuo al dispositivo corporativo del usuario, como ScreenConnect, NetSupport Manager y Cobalt Strike.
Así, una vez Black Basta obtuvo acceso a la red corporativa, los ciberdelincuentes pudieron acceder a la red corporativa mediante ataques de ingeniería social y propagándose lateralmente a otros dispositivos. A su vez, adquiría privilegios, robaba datos y, en último lugar, implementaba el cifrador.
Los investigadores del proveedor de ciberseguridad ReliaQuest han observado que Black Basta ha mejorado su metodología de ataque y ahora emplea la plataforma de comunicación Microsoft Teams para implementar ‘ransomware’.
Los analistas observaron a finales de octubre diferentes cambios en las tácticas, técnicas y procedimientos (TTP) de Black Basta; una campaña que se está extendiendo rápidamente y “representa una amenaza importante para las organizaciones”, según han explicado en su blog.
“El grupo de amenazas está atacando a muchos de nuestros clientes en diversos sectores y geografías con una intensidad alarmante”, han señalado, remarcando que se ha dado “un gran volumen de actividad”: en tan solo 50 minutos, uno de los usuarios afectados recibió aproximadamente mil correos electrónicos.
Los agentes maliciosos, sin embargo, han modificado su modus operandi, ya que, en lugar de llamar directamente a sus las víctimas potenciales, contactan con ellos a través de Microsoft Teams como usuarios externos. Después, se hacen pasar por el servicio de soporte corporativo y se comunican con estos trabajadores para solucionar el presunto problema de ‘spam’ registrado en sus cuentas de corrreo electrónico.
Para pasar desapercibidos, los ciberdelincuentes configuran sus perfiles de usuario con nombres diseñados para hacer que el usuario objetivo piense que se está comunicando con una cuenta de soporte técnico a través de una cadena de mensajes nombrada ‘Help Desk’, ha indicado la firma de ciberseguridad.
Una vez captan la atención de los empleados y éstos instalan y ejecutan los programas AnyDesk o QuickAssist, los ciberdelincuentes tienen vía libre para acceder a sus dispositivos en remoto e instalar cargas útiles como ‘AntispamAccount.exe’, ‘AntispamUpdate.exe’ o ‘AntispamConnectUS.exe’.
Por otra parte, los expertos han advertido que los actores de amenazas a menudo envían códigos QR a través de estas comunicaciones, que conducen a dominios como ‘qr-s1.com’ o ‘qr-s4.com’, entre otros, aunque no se ha podido determinar para qué emplean estos códigos.
Como conclusión a su investigación, ReliaQuest ha puntualizado que, aunque ha neutralizado el ataque en una etapa temprana esta campaña aún está evolucionando y que el grupo cibercriminal ha demostrado su capacidad para adaptar rápdiamente nuevas técnicas, “lo que probablemente les permita frustrar a los defensores y ganar más tiempo en las redes para continuar con sus ataques”.
Asimismo, ha recomendado a las organizaciones deshabilitar la comunicación de usuarios externos dentro de Microsoft Teams, para evitar que mensajes de chat no deseados y fraudulentos lleguen a los empleados o usuarios finales.
