En octubre de 2024, la operación de ransomware Black Basta ha comenzado a usar la plataforma de colaboración Microsoft Teams para realizar ataques de ingeniería social, haciéndose pasar por soporte de TI para engañar a los empleados y obtener acceso a redes corporativas. Este cambio en sus tácticas muestra cómo los cibercriminales evolucionan y adaptan sus métodos para sortear las defensas corporativas.
La evolución del ataque de Black Basta
Black Basta, activo desde abril de 2022, ha sido responsable de cientos de ataques en empresas de todo el mundo. Tras el cierre del grupo Conti en 2022, algunos de sus miembros formaron nuevas operaciones, entre las cuales se encuentra Black Basta. Esta organización ha empleado métodos de infiltración que incluyen la explotación de vulnerabilidades, el uso de botnets y, especialmente, la ingeniería social.
Una táctica anterior involucraba inundar el correo de los empleados con miles de correos de spam (boletines, confirmaciones de registro, entre otros) y luego llamar, haciéndose pasar por el departamento de soporte técnico, para ofrecer ayuda. A través de esta falsa asistencia, lograban que los empleados instalaran herramientas de acceso remoto como AnyDesk, permitiéndoles introducir malware adicional y obtener acceso a dispositivos de la red corporativa.
El nuevo enfoque: Microsoft Teams
En su estrategia más reciente, los afiliados de Black Basta están empleando Microsoft Teams para contactar directamente a empleados. Según un informe de ReliaQuest, los atacantes crean cuentas externas en la plataforma Entra ID, las cuales simulan ser usuarios de soporte con nombres de pantalla como “Help Desk” o “Security Admin”. Una vez creada la cuenta, los atacantes contactan a sus objetivos a través de Teams, utilizando un chat individual (“OneOnOne”) que añade credibilidad a su falso rol de ayuda técnica.
Para hacer más verosímil su perfil, emplean nombres como “securityadminhelper.onmicrosoft[.]com” y “supportadministrator.onmicrosoft[.]com”, los cuales contienen palabras clave que sugieren apoyo técnico. En algunos casos, incluso envían códigos QR que enlazan a dominios maliciosos, como qr-s1[.]com, aunque el propósito exacto de estos códigos QR no se ha determinado con claridad.
Objetivo: acceso remoto y control total
Al igual que en su táctica anterior, el objetivo final es lograr que el usuario instale AnyDesk o ejecute Windows Quick Assist, brindando a los cibercriminales acceso remoto. Una vez dentro del dispositivo, los atacantes instalan archivos con nombres como “AntispamAccount.exe” y “AntispamConnectUS.exe”. Estos archivos han sido identificados por investigadores como variantes de SystemBC, un malware proxy utilizado previamente por Black Basta. Finalmente, los atacantes despliegan Cobalt Strike, una herramienta de acceso remoto avanzada, que les permite moverse lateralmente por la red, robar datos y ejecutar el ransomware en múltiples dispositivos de la organización.
Recomendaciones de seguridad para evitar estos ataques
ReliaQuest ha emitido recomendaciones para proteger a las organizaciones de este tipo de ataques:
- Restringir la comunicación externa en Microsoft Teams: Limitar la posibilidad de que usuarios externos contacten a empleados mediante Microsoft Teams. De ser necesario, permitir solo comunicaciones desde dominios específicos y verificados.
- Habilitar registros de actividad: Activar el registro de eventos en Microsoft Teams, especialmente para detectar la creación de chats (“ChatCreated event”) y así identificar posibles interacciones sospechosas.
Conclusión
Este caso de Black Basta es un recordatorio de la importancia de estar alerta ante métodos de ataque cada vez más sofisticados. Las plataformas de comunicación empresarial pueden ser aprovechadas por cibercriminales, y es esencial para las organizaciones fortalecer sus controles de acceso, monitorear eventos inusuales y capacitar a sus empleados en ciberseguridad. La proactividad es clave para detectar y prevenir ataques que buscan aprovechar la confianza del usuario y el entorno de trabajo remoto.