Recientemente, el grupo de ransomware Black Basta ha llevado sus tácticas de ingeniería social a otro nivel usando Microsoft Teams. Ahora, estos ciberdelincuentes se hacen pasar por el equipo de soporte de TI de las empresas, contactando a los trabajadores directamente y "ayudándolos" a resolver un supuesto ataque de spam que en realidad nunca existió. La idea es ganarse la confianza de las víctimas para conseguir acceso a datos sensibles.
Black Basta no es un jugador nuevo; este grupo ha estado activo desde abril de 2022 y se le atribuyen cientos de ataques a empresas de todo el mundo. Muchos creen que surgió tras la disolución de Conti, un infame sindicato de ciberdelincuencia que cerró en junio de 2022 después de una serie de filtraciones humillantes. Al parecer, cuando Conti se desintegró, varios de sus antiguos miembros formaron grupos independientes, y uno de ellos sería Black Basta.
Esta historia es una clara señal de que los ataques de ransomware no solo siguen evolucionando, sino que también se están volviendo más audaces y difíciles de detectar.
¿Cómo opera Black Basta?
El grupo de ransomware Black Basta tiene varios trucos bajo la manga para infiltrarse en las redes corporativas. Desde aprovechar vulnerabilidades en los sistemas hasta hacer equipo con botnets y, por supuesto, usar ingeniería social.
En mayo, las firmas de seguridad Rapid7 y ReliaQuest alertaron sobre una nueva campaña de Black Basta que utilizaba un enfoque bastante creativo para saturar a sus víctimas. Básicamente, enviaban miles de correos a los trabajadores de una empresa: boletines, confirmaciones de registro, mensajes de verificación… nada realmente malicioso, pero en cantidades tan grandes que las bandejas de entrada terminaban completamente desbordadas.
Una vez que el empleado estaba agobiado por tanto spam, los atacantes llamaban por teléfono haciéndose pasar por el soporte técnico de la empresa, ofreciendo “ayuda” para solucionar el problema del spam. Durante la llamada, convencían a la víctima de instalar AnyDesk (una herramienta de acceso remoto) o de darles acceso directo a su computadora usando Windows Quick Assist, una función de control remoto y pantalla compartida en Windows.
Con esta maniobra, los atacantes lograban acceso directo al dispositivo de la víctima, permitiéndoles moverse dentro de la red de la empresa sin levantar sospechas. Un ejemplo perfecto de cómo los ciberdelincuentes están combinando técnicas de manipulación psicológica con herramientas de acceso remoto para lograr sus objetivos.
Una vez dentro, los atacantes ejecutan un script que instala varias herramientas para mantener el acceso al dispositivo de la víctima, como ScreenConnect, NetSupport Manager y Cobalt Strike. Con estas herramientas, tienen una puerta abierta para controlar el equipo de forma remota cada vez que quieran.
Desde ahí, la gente de Black Basta empieza a moverse por la red, saltando de un dispositivo a otro, ganando más permisos, robando datos y, finalmente, lanzando su ransomware para cifrar todo. Es un proceso meticuloso que les permite exprimir al máximo el acceso que han conseguido y causar el mayor daño posible.
Te podrá interesar leer: ¿Cómo los hackers atacan a los altos ejecutivos con ingeniería social?
Migración a Microsoft Teams
Recientemente, los afiliados de Black Basta han cambiado de estrategia y ahora están usando Microsoft Teams para llevar a cabo sus ataques. La técnica es similar a la de ataques anteriores: primero inundan la bandeja de entrada de un trabajador con toneladas de correos electrónicos no maliciosos (boletines, confirmaciones, etc.) hasta que se satura y el empleado se siente abrumado.
Pero esta vez, en lugar de llamar por teléfono, los atacantes se comunican directamente a través de Microsoft Teams, haciéndose pasar por el equipo de soporte de TI de la empresa. Utilizan cuentas creadas en dominios de Entra ID con nombres que parecen oficiales, como “Soporte Técnico” o algo similar, para que el contacto parezca legítimo. Desde ahí, ofrecen “ayuda” para resolver el problema de spam y, una vez que el trabajador confía en ellos, consiguen acceso a su dispositivo y a la red de la empresa.
Las cuentas se crean bajo inquilinos de Entra ID que tienen un nombre que parece ser de soporte técnico, como:
- securityadminhelper.onmicrosoft[.]com
- supportserviceadmin.onmicrosoft[.]com
- supportadministrator.onmicrosoft[.]com
- cybersecurityadmin.onmicrosoft[.]com
Los atacantes configuran sus perfiles de usuario externo en Microsoft Teams con nombres diseñados para parecer oficiales, como “Help Desk” (a veces rodeado de espacios en blanco para que el nombre quede centrado en el chat). Así, los empleados piensan que están hablando con el equipo de soporte de TI de la empresa. Por lo general, estos atacantes crean chats individuales con trabajadores específicos para ofrecer “ayuda”.
En algunos casos, también han empezado a enviar códigos QR a través del chat, que llevan a dominios externos sospechosos. Aunque no se sabe con certeza para qué se usan estos códigos, podrían ser parte del mismo esquema de ingeniería social para engañar a las víctimas y hacerles tomar alguna acción que comprometa su dispositivo. Para hacer aún más realista el engaño, los atacantes suelen operar desde cuentas configuradas en zonas horarias de Rusia, lo cual da pistas sobre su origen.
El objetivo final es siempre el mismo: convencer al empleado de que instale herramientas de acceso remoto como AnyDesk o que inicie Quick Assist en Windows. Una vez que logran acceso al dispositivo, instalan programas con nombres engañosos como "AntispamAccount.exe" o "AntispamUpdate.exe". En realidad, estos archivos son herramientas de malware, incluyendo el conocido SystemBC y el famoso Cobalt Strike, que permite a los atacantes moverse libremente por la red corporativa y acceder a otros dispositivos.
Para evitar estos ataques, se recomienda a las organizaciones limitar las comunicaciones con usuarios externos en Microsoft Teams y, de ser necesario, solo permitirlas desde dominios de confianza. También es buena idea habilitar el registro de eventos, especialmente aquellos relacionados con la creación de chats, para detectar cualquier actividad sospechosa antes de que sea demasiado tarde.
Te podrá interesar leer: Mejorando la Postura de Seguridad en Microsoft Teams
Conclusión
Los ataques de ransomware en plataformas como Microsoft Teams muestran que la seguridad no solo depende de buenos sistemas, sino también de trabajadores bien informados. Grupos como Black Basta aprovechan errores humanos para infiltrarse en redes corporativas, y la mejor defensa contra esto es educar al personal en ciberseguridad.
Iniciar capacitaciones en temas como el reconocimiento de intentos de phishing y verificación de identidades puede ser la diferencia entre contener un incidente y enfrentar una crisis mayor. Protege a tu empresa y comienza a formar a tu equipo en prácticas de seguridad digital.
