Un notorio grupo de ransomware conocido como “Black Basta” ha intensificado sus tácticas de ingeniería social para obtener acceso no autorizado a los sistemas y datos confidenciales de las organizaciones.
ReliaQuest, una empresa líder en ciberseguridad, descubrió recientemente una campaña sofisticada que utilizaba mensajes de chat de Microsoft Teams y códigos QR maliciosos para facilitar el acceso inicial.
Black Basta, anteriormente conocido por abrumar a los usuarios con correo no deseado y hacerse pasar por personal legítimo del servicio de asistencia técnica, ahora ha evolucionado sus técnicas.
En un incidente reciente, los atacantes utilizaron mensajes de chat de Microsoft Teams para comunicarse con usuarios específicos y agregarlos a chats con usuarios externos que operaban bajo un inquilino fraudulento de Entra ID.
Seminario web gratuito sobre cómo proteger su sitio web y API de ciberataques -> Únase aquí
Estos usuarios externos se hacen pasar por soporte, administradores o personal de la mesa de ayuda y usan nombres para mostrar diseñados para engañar a los usuarios objetivo haciéndoles creer que se están comunicando con una cuenta genuina de la mesa de ayuda.
La investigación de ReliaQuest reveló que la actividad de los atacantes a menudo se origina en Rusia, y los datos de zona horaria registrados por Teams incluyen regularmente Moscú.
Además de utilizar Microsoft Teams, Black Basta ha introducido códigos QR como método de phishing. Dentro de estos chats, los usuarios objetivo reciben un código QR disfrazado de una imagen de código QR de una empresa de marca legítima.
El dominio utilizado para esta campaña de phishing con códigos QR está diseñado para coincidir con la organización objetivo y los subdominios siguen una convención de nomenclatura específica.
El propósito exacto de estos códigos QR aún no está claro, pero sospechamos que pueden atraer a los usuarios a una infraestructura maliciosa adicional y sentar las bases para técnicas de ingeniería social de seguimiento y la implementación de monitoreo y administración remotos de herramientas RMM.
La campaña Black Basta representa una amenaza importante para organizaciones de diversos sectores y geografías.
ReliaQuest ha observado una intensidad alarmante en la actividad de este grupo, con un incidente en el que se enviaron aproximadamente 1.000 correos electrónicos a un usuario en sólo 50 minutos.
Cuando se ejecuta un archivo malicioso descargado a través de la herramienta RMM, emite una baliza Cobalt Strike y utiliza el módulo Impacket para el movimiento lateral dentro de la red comprometida.
Es casi seguro que el objetivo final de estos ataques sea implementar ransomware.
Mitigaciones recomendadas
Para combatir esta amenaza en evolución, ReliaQuest recomienda varias medidas.
Bloquear dominios y subdominios maliciosos identificados Deshabilitar la comunicación de usuarios externos o permitir dominios confiables específicos dentro de Microsoft Teams Establecer políticas antispam agresivas dentro de las herramientas de seguridad de correo electrónico Microsoft Teams, habilitar específicamente el registro de eventos ChatCreated para facilitar el descubrimiento y la investigación.
Además, las organizaciones deben proporcionar programas continuos de capacitación y concientización para garantizar que los empleados permanezcan alerta a las tácticas actuales de ingeniería social.
Esta vigilancia debe combinarse con una sólida estrategia de defensa en profundidad que incorpore múltiples capas de medidas de seguridad, como firewalls, sistemas de detección de intrusos y auditorías de seguridad periódicas.
A medida que Black Basta continúa adaptando sus tácticas, las organizaciones deben ser proactivas en sus esfuerzos de ciberseguridad. Al mantenerse informadas sobre las últimas amenazas, implementar protocolos de seguridad integrales y fomentar una cultura de concienciación sobre la ciberseguridad, las organizaciones pueden reducir significativamente el riesgo de convertirse en víctimas de ataques de ransomware tan avanzados.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
