A Sophos tem monitorado vários atores de ransomware que utilizam um padrão de ataque relatado pela primeira vez pela Microsoft em maio de 2024, em conexão com o grupo de ameaças designado Storm-1811. Entre novembro de 2024 e meados de janeiro de 2025, a Sophos documentou dois clusters de ameaças distintos usando as mesmas técnicas em mais de 15 incidentes. Investigações adicionais encontraram mais de 55 tentativas de ataques usando a mesma técnica.
CONTEÚDO RELACIONADO: Novo golpe com IA generativa mira usuários do Kling AI, alerta Check Point
A estratégia que eles usam é o “bombardeio de e-mails” para sobrecarregar um funcionário da organização com e-mails indesejados e, em seguida, fazem uma chamada de voz ou vídeo pelo Microsoft Teams se passando por um membro da equipe de suporte técnico para enganar esse funcionário e permitir acesso remoto ao seu computador.
No primeiro trimestre de 2025, a Equipe de Resposta a Incidentes da Sophos auxiliou uma organização alvo de atacantes afiliados ao grupo de ransomware 3AM. O padrão seguiu outros ataques de bombardeio de e-mails em muitos aspectos. Mas houve métodos do ataque que o distinguiram de incidentes anteriores de “vishing” pelo Teams.
Os riscos da nova estratégia do 3AM
Um deles foi a realização de chamada telefônica que falsificou o número de telefone do departamento de TI da organização. O ataque incluiu a implantação de uma máquina virtual em um computador comprometido, fornecendo aos atacantes um ponto de apoio inicial oculto da visão do software de proteção de endpoint. O ataque de ransomware em si foi frustrado, mas os atacantes conseguiram permanecer na rede por nove dias antes de tentar lançar o ransomware. Eles conseguiram roubar dados da rede da organização alvo.
Antes do ataque, os atores do 3AM realizaram reconhecimento da organização, coletando informações sobre a organização. Isso incluiu endereços de e-mail associados a funcionários da empresa e o número de telefone do departamento de TI interno da organização. Eles usaram essas informações para adaptar seu ataque.
Relatado pela primeira vez pela Symantec em setembro de 2023, o 3AM foi avaliado por pesquisadores da Intrinsec e outras organizações como uma rebranding do ransomware BlackSuit/Royal e conectado a uma das equipes centrais do grupo Conti desmantelado. Além do mais, ele foi mencionado nos vazamentos de chats do ransomware BlackBasta e tem ligações com atores afiliados ao BlackBasta envolvidos no vishing baseado no Microsoft Teams que a Sophos MDR rastreia como STAC5777.
Dias 1 e 2: Comprometimento inicial e implantação de backdoor
O ataque começou com bombardeio de e-mails. Endereços de e-mail de funcionários obtidos durante o reconhecimento foram usados para inscrever os alvos em várias listas de e-mails, resultando em uma enxurrada de mensagens indesejadas. Isso visava sobrecarregar e confundir os funcionários, tornando-os mais suscetíveis a interações subsequentes.
Em seguida, os atacantes fizeram uma chamada telefônica, falsificando o número de telefone do departamento de TI da organização, e se passaram por membros da equipe de suporte técnico. Durante a chamada, persuadiram o funcionário a permitir acesso remoto ao computador, utilizando ferramentas legítimas como o Microsoft Quick Assist.
Uma vez com acesso remoto, os atacantes implantaram uma máquina virtual no computador comprometido. Essa máquina virtual operava de forma isolada, permitindo que os atacantes executassem atividades maliciosas sem serem detectados pelos softwares de segurança instalados no sistema principal.
Dias 3 a 9: Movimentação Lateral e Exfiltração de Dados
Durante os dias seguintes, os atacantes exploraram a rede da organização, coletando informações sensíveis e exfiltrando dados. Embora a tentativa de criptografar os dados com ransomware tenha sido frustrada, os atacantes conseguiram permanecer na rede por nove dias, durante os quais roubaram informações valiosas.
A Sophos explica que este incidente destaca a sofisticação crescente dos ataques de ransomware, combinando engenharia social com o uso de ferramentas legítimas para evitar a detecção. Organizações devem reforçar suas medidas de segurança, incluindo a implementação de autenticação multifator, treinamento de conscientização para funcionários e monitoramento contínuo de atividades suspeitas na rede.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).
