Desde octubre de 2024, el grupo de ransomware conocido como Basta negra intensificó sus métodos de ataque utilizando Equipos de Microsoft como una nueva herramienta de manipulación social. Este cambio estratégico ha permitido a los ciberdelincuentes apuntar a cientos de organizaciones en diversas industrias, como finanzas, tecnología y proveedores de servicios gubernamentales. La pandilla, activa desde abril de 2022, es conocida por sus agresivas técnicas de spam e ingeniería social.
El secuestro de Microsoft Teams: una amenaza creciente
Tradicionalmente, los ciberataques de ransomware se llevaban a cabo principalmente a través de campañas masivas de estafa por correo electrónico. Sin embargo, usar Microsoft Teams cambia las reglas del juego. Ahora, los atacantes se comunican directamente con sus víctimas, haciéndose pasar por miembros legítimos de la mesa de ayuda de TI.
La primera fase del ataque implica inundar los buzones de correo de los usuarios con spam no malicioso, dejando sus direcciones de correo electrónico prácticamente inutilizables. Abrumada por esta avalancha de correos electrónicos sin importancia, la víctima lógicamente buscaría ayuda, creando así una oportunidad para los piratas informáticos.
Robo de identidad en Microsoft Teams
Los hackers luego usan Equipos de Microsoft hacerse pasar por agentes de soporte técnico utilizando cuentas falsas tituladas “Mesa de ayuda” o “Ayudante de administración de seguridad”. Al comunicarse con el objetivo directamente a través de Teams, ofrecen asistencia inmediata, pero primero requieren que el usuario instale un software de soporte remoto. Una vez instalado este malware, los delincuentes toman el control del ordenador de la víctima, ocultan más malware y se infiltran gradualmente en la red de la empresa.
Además de capturar datos sensibles, estas operaciones también cifran los archivos de la empresa, haciendo imposible su recuperación sin pagar un rescate. Las interacciones en tiempo real a través de Microsoft Teams hacen que sea mucho más difícil detectar estos ataques en comparación con los correos electrónicos de phishing tradicionales.
Riesgo asociado con el uso de Microsoft Teams
El mayor uso de Microsoft Teams como vector de ataque representa una grave amenaza para las organizaciones. Los ciberdelincuentes crean identidades falsas en Microsoft Entra ID (anteriormente Azure Active Directory), simulando cuentas legítimas de soporte de TI. Esta estrategia permite eludir las herramientas tradicionales de seguridad del correo electrónico y convencer más fácilmente a los usuarios preocupados por la seguridad.
El uso de cuentas falsamente auténticas permite a los piratas informáticos ocultar sus intenciones maliciosas mientras explotan la confianza inherente que conlleva el uso de plataformas colaborativas como Teams. Este ángulo innovador disminuye la eficacia de las medidas tradicionales de ciberseguridad, lo que requiere una rápida adaptación de las estrategias defensivas de las empresas objetivo.
La evolución de las tácticas de Black Basta
Al adaptar constantemente sus métodos de ataque, los ciberdelincuentes de Black Basta demuestran una gran flexibilidad y capacidad para explotar nuevas tecnologías de comunicación. Según los investigadoresOP Innovareste desarrollo refleja la necesidad apremiante de ampliar las políticas de seguridad e integrar más soluciones de protección enfocadas en detectar comportamientos sospechosos en tiempo real.
Por lo tanto, las empresas deben permanecer alerta ante esta amenaza creciente que ilustra claramente cómo los ciberatacantes evolucionan junto con el progreso tecnológico. Aprovechar plataformas ampliamente utilizadas como Microsoft Teams resalta la necesidad de desarrollar estrategias de seguridad integrales que cubran todos los canales de comunicación interna.
About the Author
