# Black Basta Microsoft Teams Campaign 2024 > [!high] Engenharia social via Microsoft Teams se passando por suporte de TI > Em outubro de 2024, pesquisadores documentaram uma campanha do grupo [[cardinal-cybercrime-group]] (operador do [[s1070-black-basta-ransomware]]) usando o Microsoft Teams como vetor de acesso inicial: os atacantes bombardeiam a vítima com milhares de emails de spam, depois a contatam via Teams se passando pela equipe de TI interna oferecendo "suporte". Uma vez com acesso remoto concedido pela vítima, instalam ferramentas como Cobalt Strike para persistência antes do deploy do ransomware. ## Visão Geral A campanha Black Basta via Microsoft Teams representa uma evolução significativa nas técnicas de acesso inicial do [[cardinal-cybercrime-group]]: ao invés de confiar em phishing de email ou exploração de vulnerabilidades, os atacantes abusam da confiança institucional que funcionários depositam em ferramentas corporativas como o Microsoft Teams para enganar vítimas a conceder acesso remoto voluntariamente. O modus operandi tem duas fases distintas. Primeiro, os atacantes subscrevem o endereço de email da vítima em centenas de listas de mailing, boletins e fóruns legítimos simultaneamente — gerando uma enxurrada de emails que paralisa a caixa de entrada e cria urgência/confusão. Em seguida, dentro de minutos, um agente contacta a vítima via Microsoft Teams (usando um tenant externo ou conta comprometida) se identificando como "Suporte de TI da empresa" oferecendo ajuda com o "problema de spam". Para uma vítima estressada com centenas de emails chegando, a oferta de ajuda da "TI" parece legítima. Após a vítima aceitar a sessão de suporte remoto (tipicamente via AnyDesk ou Quick Assist — ferramentas legítimas que não disparam alertas de EDR), os atacantes instalam [[s0154-cobalt-strike]] Beacon para persistência e realizam reconhecimento antes do deploy do ransomware. A técnica contorna controles de segurança que dependem de detecção de phishing de email ou exploração de vulnerabilidades. Para o [[financial|setor financeiro]] brasileiro, onde o uso corporativo do Microsoft Teams é crescente, a campanha exemplifica a necessidade de políticas claras de suporte de TI e de treinamento anti-vishing para todos os funcionários. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing via Service | [[t1566-004-spearphishing-via-service\|T1566.004]] | Contato inicial via Microsoft Teams externo | | Remote Access Software | [[t1219-remote-access-software\|T1219]] | AnyDesk / Quick Assist para acesso remoto | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais obtidas via acesso remoto | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Black Basta ransomware no deploy final | | Email Bomb | [[t1498-network-denial-of-service\|T1498]] | Subscrição massiva em listas para criar confusão | ## Referências - [1](https://www.reliaquest.com/blog/black-basta-ransomware-group-social-engineering-via-microsoft-teams/) ReliaQuest - Black Basta Social Engineering via Teams (2024) - [2](https://www.rapid7.com/blog/post/2024/10/31/suspected-black-basta-microsoft-teams-social-engineering/) Rapid7 - Black Basta Teams Social Engineering (2024) - [3](https://www.trendmicro.com/en_us/research/24/k/black-basta-new-attack-method.html) Trend Micro - Black Basta New Attack Method (2024) - [4](https://attack.mitre.org/groups/G0139/) MITRE ATT&CK - Black Basta (related group) (2024)