El grupo de ransomware Black Basta emplea ahora una nueva táctica de ingeniería social para comprometer cuentas de Microsoft Teams con spam de correo electrónico y mensajes de Teams que contienen códigos QR maliciosos.
El experto en seguridad ReliaQuest descubrió las nuevas estrategias de ciberataque, que la empresa detalla en su nueva entrada de blog.
La ingeniería social como herramienta
Se trata de un cambio con respecto a las tácticas anteriores de Black Basta, que consistían principalmente en obtener acceso inicial a la red de una víctima a través de herramientas de administración remota expuestas, y luego desplegar balizas Cobalt Strike utilizadas para el movimiento lateral y la exfiltración de datos.
En octubre de 2024, ReliaQuest respondió a una alerta sobre la actividad de Impacket, un conjunto de herramientas para manipular los protocolos de autenticación de Windows Active Directory. Durante la investigación, la empresa descubrió una tendencia más amplia: una campaña de tácticas de ingeniería social escalada asociada inicialmente con Black Basta. Como parte de una amplia campaña de spam por correo electrónico, los atacantes también están enviando mensajes de Microsoft Teams a usuarios objetivo.
La motivación subyacente es probablemente sentar las bases para el seguimiento de las técnicas de ingeniería social, convencer a los usuarios para que descarguen herramientas de monitorización y gestión remota (RMM) y obtener acceso inicial al entorno objetivo. En última instancia, el objetivo final de los atacantes en estos incidentes es casi con toda seguridad el despliegue de ransomware.
Aumento de la actividad maliciosa
ReliaQuest afirma que la campaña de ransomware de Black Basta supone una «amenaza significativa» para las organizaciones que utilizan Microsoft Teams. Según la empresa, los atacantes están atacando a muchos de los clientes de ReliaQuest en diversos sectores y geografías con una «intensidad alarmante». «En un incidente, ReliaQuest observó aproximadamente 1.000 correos electrónicos bombardeando a un solo usuario en 50 minutos.
La empresa está de acuerdo en que el volumen de actividad es excepcionalmente alto, y atribuye los incidentes a Black Basta con «alta confianza» debido a los puntos en común en la creación de dominios y las configuraciones de Cobalt Strike.
En julio, tras el ataque a Kaseya que afectó a cientos de empresas, Black Basta anunció que se alejaría de los ataques basados en la cadena de suministro y se centraría en explotar vulnerabilidades activas en soluciones locales. Aunque Black Basta no ha lanzado nuevas campañas significativas de ransomware, el grupo ha estado activo recientemente.