Microsoft Teams se torna caminho para disfarçar tráfego de ransomware

Ransomware e o Uso do Microsoft Teams: Um Alerta para a Segurança Corporativa

O uso do Microsoft Teams por grupos de ransomware se tornou uma preocupação crescente para as equipes de segurança das empresas. Pesquisadores da Symantec identificaram uma campanha do grupo DragonForce, que utiliza servidores de retransmissão da plataforma para encobrir comunicações maliciosas. Essa técnica transforma o tráfego legítimo de colaboração em um canal para manter o acesso a redes corporativas.

A campanha foi observada em dezembro de 2025, quando atacantes exploraram uma vulnerabilidade em ambientes SQL para obter acesso inicial a uma grande empresa de serviços nos Estados Unidos. Após a invasão, o grupo implantou um malware personalizado, conhecido como Backdoor.Turn, um RAT desenvolvido em Go.

Como os Relays do Teams Foram Utilizados

No funcionamento normal do Microsoft Teams, servidores de relay facilitam a comunicação de áudio e vídeo quando uma conexão direta não é possível, especialmente em redes corporativas. No entanto, essa funcionalidade está sendo explorada para encobrir tráfego malicioso.

O Backdoor.Turn utiliza o protocolo TURN (Traversal Using Relays around NAT), permitindo que comunicações maliciosas sejam disfarçadas como tráfego legítimo. Isso representa um desafio significativo para as equipes de segurança, que precisam equilibrar a proteção da rede com a operação normal do negócio.

DragonForce e a Evolução do Ransomware

O grupo DragonForce, ativo desde 2023, tem se destacado por sua sofisticação operacional. Em 2025, adotou um modelo de afiliação que permite a outros agentes utilizarem sua infraestrutura e ferramentas, enquanto a organização central oferece suporte. Essa abordagem transforma o ransomware em uma cadeia de serviços criminosos, dificultando a rastreabilidade das campanhas.

A Técnica Ghost Calls em Uso Real

A técnica conhecida como “Ghost Calls”, que explora os relays do Teams, foi demonstrada em 2025, mas a campanha do DragonForce marca seu primeiro uso em um ambiente real. Isso eleva a gravidade do alerta, transformando uma prova de conceito em uma tática operacional efetiva em ataques de ransomware.

Para os CISOs e equipes de SOC, isso reforça a necessidade de revisar modelos de detecção que se baseiam apenas na reputação de domínio ou em aplicações aprovadas. O tráfego legítimo também deve ser analisado com base em comportamento, volume e contexto do usuário.

O Que as Empresas Devem Observar

A resposta a essas ameaças não deve ser tratar o Microsoft Teams como inseguro, mas sim reconhecer que plataformas confiáveis podem ser usadas como disfarce por agentes maliciosos. A visibilidade, segmentação e identificação de desvios de comportamento são fundamentais.

Conexões incomuns envolvendo servidores;
Processos inesperados iniciando comunicação externa;
Tráfego persistente fora do padrão de uso;
Tentativas de acesso após exploração de bases SQL;
Execução de binários desconhecidos em máquinas críticas.

É essencial cruzar dados de EDR, firewall, proxy, identidade e telemetria de aplicações SaaS para uma proteção eficaz.

A Importância da Segurança Além da Confiança na Aplicação

O caso do DragonForce ilustra uma tendência crescente no cibercrime: esconder atividades maliciosas em fluxos legítimos. Essa estratégia dificulta bloqueios simples e exige uma abordagem mais madura em detecção comportamental.

Ambientes colaborativos devem ser monitorados não apenas pela produtividade, mas também integrados à estratégia de cibersegurança corporativa, com políticas claras de acesso e análise de anomalias. O uso de relays do Teams para ocultar comunicações de ransomware sinaliza que grupos criminosos estão mirando em pontos críticos onde segurança e operação se encontram.

Fonte por: Its Show