La operación de ransomware Black Basta, activa desde abril de 2022 y responsable de cientos de ataques corporativos, ha evolucionado en sus tácticas. Este grupo, surgido tras la disolución de la banda Conti, ha comenzado a usar Microsoft Teams como plataforma de ingeniería social para comprometer a empleados de grandes corporaciones. En un movimiento reciente, los atacantes se hacen pasar por personal de soporte IT, contactando a los empleados bajo el pretexto de ayudarles con problemas de SPAM en su correo corporativo.
Inicialmente, Black Basta comprometía redes mediante brechas de seguridad, colaboración con botnets de malware y técnicas de ingeniería social. Desde mayo, empresas de ciberseguridad como Rapid7 y ReliaQuest detectaron una campaña de Black Basta donde saturaban los correos electrónicos de los empleados con miles de mensajes inofensivos, como newsletters o confirmaciones de suscripción. Esta táctica generaba frustración en los usuarios, quienes luego recibían una llamada de supuestos agentes de soporte IT que ofrecían asistencia para resolver el problema de SPAM.
En esta fase inicial, los atacantes engañaban a los empleados para que instalaran herramientas de acceso remoto como AnyDesk o Quick Assist. Esto les permitía ejecutar scripts para instalar cargas maliciosas como ScreenConnect, NetSupport Manager o Cobalt Strike, asegurando así un acceso continuo al dispositivo y facilitando la propagación del ransomware en la red corporativa.
En octubre, ReliaQuest informó que Black Basta ha refinado esta técnica de acceso y ahora utiliza Microsoft Teams para contactar a empleados, evitando llamadas telefónicas. Los atacantes, bajo nombres como “Help Desk” o “Cybersecurity Admin”, configuran cuentas externas en Teams desde dominios falsos creados en Entra ID, como “securityadminhelper.onmicrosoft[.]com” o “supportadministrator.onmicrosoft[.]com.” La apariencia profesional de estos nombres de usuario contribuye a la credibilidad de los atacantes, quienes contactan a los empleados en chats “OneOnOne” para ofrecer asistencia contra el spam.
En algunos casos, los atacantes también envían códigos QR que dirigen a dominios externos como “qr-s1[.]com,” aunque los investigadores aún no han determinado su propósito exacto. Este tipo de manipulación persigue que la víctima instale de nuevo AnyDesk o active Quick Assist, permitiendo así el control remoto del dispositivo. Una vez conectados, los atacantes instalan programas como «AntispamAccount.exe» o «AntispamUpdate.exe,» herramientas que, según análisis de otros expertos, corresponden a SystemBC, un malware proxy utilizado previamente por Black Basta.
Para proteger a las organizaciones frente a estos ataques de ingeniería social, ReliaQuest aconseja restringir la comunicación desde cuentas externas en Microsoft Teams o limitarla a dominios de confianza. También recomienda activar el registro de eventos de chat, como “ChatCreated,” para identificar y analizar chats sospechosos.