As ameaças cibernéticas continuam a evoluir, e ataques recentes envolvendo gangues de ransomware que se passam por suporte de TI no Microsoft Teams estão gerando preocupações em diversos setores.
Usando uma combinação de bombardeio de e-mails e táticas de engenharia social, esses grupos encontram formas de invadir redes corporativas, deixando empresas vulneráveis a roubos de dados e à implantação de ransomware.
Gangues de Ransomware Exploram o Microsoft Teams
Pesquisadores da Sophos identificaram que criminosos cibernéticos estão aproveitando as configurações padrão do Microsoft Teams para explorar brechas. Muitas organizações permitem que domínios externos iniciem conversas e chamadas, criando uma porta de entrada para ataques.
Ao se passarem por equipes de suporte de TI, os invasores ganham a confiança dos funcionários, persuadindo-os a conceder acesso remoto aos seus sistemas.
Bombardeio de E-mails: A Primeira Etapa do Ataque
A primeira fase desses ataques começa com o bombardeio de e-mails, no qual as vítimas recebem milhares de mensagens de spam em um curto intervalo de tempo. Essa enxurrada de e-mails causa distração e estresse, tornando os funcionários mais suscetíveis a golpes subsequentes.
Logo após o bombardeio, os invasores entram em contato com as vítimas via Microsoft Teams, utilizando perfis com nomes como “Gerente de Suporte”. Essa abordagem confere um ar de legitimidade, aumentando a probabilidade de os funcionários seguirem as instruções.
Acesso Remoto e Implantação de Malware
Após estabelecer contato, o invasor convence a vítima a configurar uma sessão remota. Durante essa interação, são enviados arquivos maliciosos e scripts hospedados em plataformas externas como SharePoint ou Azure Blob Storage. Em um caso investigado, foi utilizado um arquivo Java (MailQueue-Handler.jar) para executar comandos PowerShell que baixaram mais malwares.
Esses malwares frequentemente envolvem softwares legítimos, como ProtonVPN ou Microsoft OneDrive, manipulados para carregar arquivos DLL maliciosos. Esses arquivos permitem que os atacantes criem canais de comunicação para controle remoto, obtendo acesso não autorizado ao sistema infectado.
Campanha Ligada ao Grupo STAC5143
Uma das campanhas identificadas foi atribuída a um grupo rastreado internamente pela Sophos como STAC5143. Esta campanha utilizou técnicas avançadas, incluindo:
- Implantação de malware baseado em Python.
- Uso de ferramentas de teste de penetração como o RPivot para criar túneis na rede.
- Roubo de dados sensíveis e preparação para possível implantação de ransomware.
Campanha Ligada ao Grupo STAC5777
Outra campanha envolveu o grupo STAC5777, que também iniciou os ataques com bombardeios de e-mails seguidos de mensagens no Microsoft Teams. Nesse caso, os criminosos enganaram as vítimas para instalar o Microsoft Quick Assist, ganhando controle direto do teclado. A partir daí, eles baixaram malwares que registraram teclas digitadas, extraíram credenciais e escanearam redes para possíveis alvos adicionais. Houve ainda uma tentativa de implantação do ransomware Black Basta, conectando o grupo a operações de alto perfil.
Táticas Usadas por Gangues de Ransomware
Esses ataques destacam as táticas em evolução das gangues de ransomware:
- Engenharia Social: Ao se passarem por suporte de TI, os criminosos exploram a confiança dos funcionários em equipes internas.
- Manipulação de Software Legítimo: O uso de ferramentas legítimas como ProtonVPN e Quick Assist ajuda os atacantes a evitar suspeitas imediatas.
- Roubo de Credenciais: Os malwares extraem credenciais de arquivos, registros e sistemas de rede, possibilitando maior exploração.
- Escaneamento de Rede: Utilizando protocolos como SMB, RDP e WinRM, os invasores identificam pontos para espalhar o malware pela organização.
Estratégias de Prevenção para Organizações
Dado o aumento desses ataques sofisticados, empresas devem adotar medidas proativas para reforçar suas defesas cibernéticas. Confira algumas recomendações:
- Restringir Comunicação Externa: Configure o Microsoft Teams para bloquear mensagens e chamadas de domínios externos, exceto se forem explicitamente autorizados.
- Desativar o Quick Assist: Limite o uso de ferramentas de acesso remoto em sistemas críticos para evitar acessos não autorizados.
- Treinamento de Funcionários: Capacite os colaboradores para reconhecer tentativas de phishing e os riscos de conceder acesso remoto a contatos não verificados.
- Monitoramento de Rede: Implemente soluções robustas de monitoramento para detectar atividades incomuns, como distribuição em massa de e-mails ou downloads não autorizados.
- Atualizações Regulares: Garanta que todos os softwares e sistemas estejam atualizados com os patches de segurança mais recentes.
O Papel do Ransomware na Segurança Cibernética
O ransomware tornou-se uma preocupação significativa para empresas em todo o mundo. Como observado nas campanhas ligadas aos grupos STAC5143 e STAC5777, as gangues de ransomware não apenas visam roubo de dados, mas também utilizam técnicas avançadas para estabelecer acessos prolongados em redes comprometidas. Essas atividades reforçam a necessidade de medidas de segurança adaptadas às ameaças modernas.
Diante de criminosos cada vez mais sofisticados, é extremamente importante que as empresas permaneçam vigilantes, atualizando constantemente suas estratégias de segurança para proteger suas redes contra as ameaças de ransomware.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
