Teams e Quick Assist se tornam ferramentas para ransomware

Ciberataques: O Uso de Microsoft Teams e Quick Assist por Criminosos

O grupo de cibercriminosos Storm-1811 tem explorado o Microsoft Teams e o Quick Assist para invadir redes corporativas, se passando por equipes de suporte técnico. Essa estratégia envolve o envio massivo de e-mails spam, chamadas via Teams e acesso remoto legítimo, resultando em prejuízos que ultrapassam US$ 107 milhões em resgates desde outubro de 2024.

Essas ferramentas, presentes em milhões de computadores corporativos, tornaram-se vetores principais para a entrada de ransomwares. O grupo utiliza o Teams e o Quick Assist para enganar funcionários, obter acesso remoto e instalar malwares, tudo isso sem acionar os controles de segurança convencionais.

Como o Ataque Começa: Spam, Teams e Engenharia Social

O ataque inicia com uma série de e-mails spam, uma técnica conhecida como email bombing, que visa criar confusão e urgência. Após isso, um criminoso contata a vítima via Microsoft Teams, fingindo ser um analista de TI da própria empresa, alegando que precisa acessar o computador para resolver um problema.

O funcionário, sobrecarregado e acreditando estar falando com o suporte interno, segue as instruções e abre o Quick Assist, concedendo controle total da máquina ao atacante. Em questão de segundos, os criminosos começam a mapear privilégios e coletar informações do sistema.

O Arsenal: De QakBot ao Ransomware Black Basta

Após obter acesso, os criminosos implantam uma série de ferramentas maliciosas, como QakBot e Cobalt Strike, para movimentação lateral na rede. O ataque culmina na instalação do ransomware Black Basta, que utiliza ferramentas legítimas para propagar o ataque e exfiltrar dados antes da criptografia.

Recentemente, o Matanbuchus 3.0 foi adicionado a essa cadeia de ataques, oferecendo uma versão mais sofisticada e difícil de detectar. O modelo de Malware como Serviço (MaaS) permite que grupos menos experientes aluguem essa ferramenta para realizar ataques complexos.

Números que Revelam a Escala do Problema

Dados da Trend Micro entre outubro de 2024 e 2025 revelam a gravidade da situação, com 21 brechas confirmadas na América do Norte, sendo 17 nos EUA. Os grupos Black Basta e Cactus arrecadaram mais de US$ 107 milhões em resgates pagos em Bitcoin, evidenciando a eficácia de suas abordagens que exploram a confiança humana.

Um caso documentado pelo DART da Microsoft ilustra a vulnerabilidade: enquanto dois funcionários se recusaram a cooperar, um terceiro concedeu acesso remoto, destacando a importância do treinamento contínuo em segurança.

Por que Esse Vetor é Tão Difícil de Bloquear

A dificuldade em bloquear essa ameaça reside na natureza das ferramentas utilizadas. O Microsoft Teams e o Quick Assist são plataformas legítimas, o que dificulta a detecção por firewalls e antivírus tradicionais. Os atacantes exploram a confiança que os funcionários depositam nessas ferramentas, representando uma mudança significativa nos vetores de ataque corporativos.

A Microsoft tem tomado medidas, como suspender contas suspeitas e alertar sobre golpes de suporte técnico, mas essas ações não eliminam completamente o risco.

O que Líderes de TI e Segurança Devem Fazer Agora

As recomendações para mitigar esses riscos incluem restringir ou desativar o Quick Assist em estações de trabalho desnecessárias e implementar soluções de acesso remoto auditadas. No Teams, é aconselhável bloquear comunicações externas ou criar um fluxo de aprovação para contatos fora do domínio corporativo.

A adoção de autenticação multifator (MFA) resistente a phishing e o monitoramento de ferramentas como WinRM e PsExec são essenciais para detectar atividades suspeitas. Além disso, o treinamento deve evoluir para incluir a identificação de golpes de suporte técnico, uma área frequentemente negligenciada nas organizações.

A combinação do Microsoft Teams e Quick Assist como vetores de ataque revela uma lacuna crítica na segurança corporativa, que depende da conscientização e treinamento dos funcionários.

Fonte por: Its Show