Ex-membros ligados à operação de ransomware Black Basta foram observados mantendo sua abordagem testada e aprovada de email bombing e phishing no Microsoft Teams para estabelecer acesso persistente às redes alvo.
"Recentemente, os atacantes introduziram a execução de scripts Python ao lado dessas técnicas, usando requisições cURL para buscar e implantar payloads maliciosos," disse a ReliaQuest em um relatório compartilhado com a imprensa.
Essa evolução é um sinal de que os atores de ameaças continuam a se adaptar e se reagrupar, apesar da marca Black Basta ter sofrido um grande golpe e declínio após o vazamento público de seus registros de chat internos no início de fevereiro.
A empresa de cibersegurança indicou que metade dos ataques de phishing no Teams observados entre fevereiro e maio de 2025 originou-se de domínios onmicrosoft[.]com, e que domínios violados representaram 42% dos ataques nesse mesmo período.
Esta última é muito mais furtiva e permite que os atores de ameaças se passem por tráfego legítimo em seus ataques.
Tão recentemente quanto no mês passado, clientes da ReliaQuest nos setores financeiro, de seguros e de construção foram alvos de phishing no Teams, disfarçando-se de pessoal da help desk para enganar usuários desavisados.
"O encerramento do site de vazamento de dados da Black Basta, apesar do uso contínuo de suas táticas, indica que ex-afiliados provavelmente migraram para outro grupo RaaS ou formaram um novo," a empresa adicionou.
O cenário mais provável é que ex-membros tenham se juntado ao grupo CACTUS RaaS, o que é evidenciado pelo líder da Black Basta, Trump, fazendo referência a um pagamento de $500–600K para o CACTUS nos chats vazados.
Vale notar que o CACTUS não nomeou nenhuma organização em seu site de vazamento de dados desde março de 2025, indicando que o grupo ou se desfez ou está tentando deliberadamente evitar chamar atenção para si.
Outra possibilidade é que os afiliados tenham migrado para o BlackLock, que, por sua vez, acredita-se ter começado a colaborar com um cartel de ransomware chamado DragonForce.
Os atores de ameaças também foram flagrados aproveitando o acesso obtido por meio da técnica de phishing no Teams para iniciar sessões remotas de desktop via Quick Assist e AnyDesk, e então baixar um script Python malicioso de um endereço remoto e executá-lo para estabelecer comunicações de comando e controle (C2).
"O uso de scripts Python neste ataque destaca uma tática em evolução que provavelmente se tornará mais prevalente em campanhas futuras de phishing no Teams no futuro imediato," disse a ReliaQuest.
A estratégia de engenharia social ao estilo Black Basta de usar uma combinação de spam por email, phishing no Teams e Quick Assist desde então também encontrou adeptos entre o grupo de ransomware BlackSuit, aumentando a possibilidade de que os afiliados do BlackSuit tenham adotado a abordagem ou absorvido membros do grupo.
De acordo com a Rapid7, o acesso inicial serve como um caminho para baixar e executar variantes atualizadas de um RAT baseado em Java que foi previamente implantado para atuar como um coletor de credenciais nos ataques Black Basta.
"O malware Java agora abusa de serviços de hospedagem de arquivos baseados na nuvem fornecidos tanto pelo Google quanto pela Microsoft para intermediar comandos através dos servidores do respectivo provedor de serviço de nuvem (CSP)," disse a empresa.
Com o tempo, o desenvolvedor do malware se afastou de conexões proxy diretas (ou seja, a opção de configuração é deixada em branco ou não presente), em direção a OneDrive e Google Sheets, e mais recentemente, para simplesmente usar o Google Drive.
A nova iteração do malware inclui mais recursos para transferir arquivos entre o host infectado e um servidor remoto, iniciar um túnel proxy SOCKS5, roubar credenciais armazenadas em navegadores web, apresentar uma janela de login do Windows falsa e baixar uma classe Java de um URL fornecido e executá-la na memória.
Assim como os ataques de ransomware 3AM detalhados pela Sophos há algumas semanas, as intrusões também são caracterizadas pelo uso de um backdoor de tunneling chamado QDoor, um malware anteriormente atribuído ao BlackSuit, e um payload em Rust que provavelmente é um carregador personalizado para a utilidade SSH, e um Python RAT referido como Anubis.
Estas descobertas ocorrem em meio a uma série de desenvolvimentos na paisagem de ransomware -
O grupo motivado financeiramente conhecido como Scattered Spider tem direcionado provedores de serviços gerenciados (MSPs) e fornecedores de TI como parte de uma abordagem "um-para-muitos" para infiltrar múltiplas organizações através de um único comprometimento, em alguns casos explorando contas comprometidas do contratante global de TI Tata Consultancy Services (TCS) para ganhar acesso inicial.
O Scattered Spider criou páginas de login falsas usando o kit de phishing Evilginx para contornar a autenticação multi-fator (MFA) e forjou alianças estratégicas com grandes operadores de ransomware como ALPHV (também conhecido como BlackCat), RansomHub e, mais recentemente, DragonForce, para conduzir ataques sofisticados mirando MSPs explorando vulnerabilidades no software de desktop remoto SimpleHelp.
Operadores de ransomware Qilin (também conhecido como Agenda e Phantom Mantis) lançaram uma campanha de intrusão coordenada mirando várias organizações entre maio e junho de 2025, armamentizando vulnerabilidades da Fortinet FortiGate (e.g.,
CVE-2024-21762
e
CVE-2024-55591
) para acesso inicial.
O grupo de ransomware Play (também conhecido como Balloonfly e PlayCrypt) é estimado em ter comprometido 900 entidades até maio de 2025 desde sua emergência em meados de 2022.
Alguns dos ataques aproveitaram falhas do SimpleHelp (CVE-2024-57727) para mirar muitas entidades baseadas nos EUA após a divulgação pública da vulnerabilidade.
O administrador do grupo de ransomware VanHelsing vazou todo o código-fonte no fórum RAMP, citando conflitos internos entre desenvolvedores e liderança.
Os detalhes vazados incluem as chaves TOR, o código-fonte do ransomware, o painel web administrativo, o sistema de chat, o servidor de arquivos e o blog com seu banco de dados completo, conforme a PRODAFT.
O grupo de ransomware Interlock implantou um trojan de acesso remoto em JavaScript anteriormente não documentado chamado NodeSnake como parte de ataques mirando organizações governamentais locais e instituições de ensino superior no Reino Unido em janeiro e março de 2025.
O malware, distribuído via emails de phishing, oferece acesso persistente, reconhecimento de sistema e capacidades de execução de comando remoto.
"RATs permitem que atacantes ganhem controle remoto sobre sistemas infectados, permitindo-lhes acessar arquivos, monitorar atividades e manipular configurações do sistema," disse Quorum Cyber.
Atores de ameaças podem usar um RAT para manter persistência dentro de uma organização, bem como para introduzir ferramentas adicionais ou malware ao ambiente.
Eles também podem acessar, manipular, destruir ou exfiltrar dados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...