# Cardinal Cybercrime Group > [!danger] Grupo Emergente — Black Basta via Microsoft Teams > **Cardinal Cybercrime Group** (rastreado como Storm-1811 pela Microsoft) é um grupo criminoso que usa **Microsoft Teams para engenharia social** — bombardeio de e-mails seguido de contato via Teams fingindo ser suporte de TI — para implantar o ransomware **Black Basta** em organizações corporativas. ## Visão Geral O Cardinal Cybercrime Group é um grupo de crime cibernético identificado pela Microsoft como Storm-1811 em maio de 2024, responsável por uma campanha inovadora de engenharia social usando o Microsoft Teams como vetor de ataque. A cadeia de ataque começa com spam massivo de e-mails seguido de contato via Microsoft Teams por membros do grupo fingindo ser funcionários do suporte de TI interno da organização alvo. A técnica é eficaz porque: (a) o Teams é percebido como ferramenta interna confiável, (b) o contexto do spam prévio cria urgência ("seu e-mail está com problemas"), e (c) funcionários sobrecarregados são mais propensos a aceitar ajuda de "TI". Após ganhar confiança, os atacantes solicitam instalação do Quick Assist ou AnyDesk para "resolver o problema", obtendo controle remoto do dispositivo e implantando o ransomware Black Basta. Este vetor representa uma evolução importante em técnicas de engenharia social corporativa: ao invés de e-mails de phishing que passam por filtros de spam, o grupo usa canais de comunicação interna já confiáveis pelo usuário. ## Attack Flow ```mermaid flowchart LR A[Spam Massivo\nCentenas de e-mails\npor hora ao alvo] --> B[Contato Teams\nFingindo ser suporte TI\nResolução do spam] B --> C[Engenharia Social\nInstalação de Quick Assist\nAcesso remoto concedido] C --> D[Deploy\nBlack Basta dropper\nMovimento lateral] D --> E[Ransomware\nCriptografia ampla\nDupla extorsão] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Phishing via Teams | [[t1566-phishing\|T1566]] | Contato via Microsoft Teams fingindo ser TI | | Acesso Remoto | [[t1219-remote-access-software\|T1219]] | Quick Assist / AnyDesk para controle total | | Ransomware | [[t1486-data-encrypted-for-impact\|T1486]] | Black Basta implantado após acesso | | PowerShell | [[t1059-command-and-scripting-interpreter\|T1059]] | Dropper e movimento lateral | ## Detecção e Defesa - Configurar o Teams para bloquear mensagens de usuários externos não autorizados - Treinar funcionários para não aceitar suporte de TI não solicitado via Teams ou chat - Implementar política corporativa: suporte de TI nunca solicita acesso remoto via Teams - Monitorar instalação não autorizada de Quick Assist, AnyDesk e TeamViewer - Aplicar [[m1017-user-training|M1017]] com simulações específicas de engenharia social via Teams ## Referências - Microsoft MSTIC: Storm-1811 — Microsoft Teams social engineering (2024) - Sophos: Black Basta via Teams engineering (2024) - Black Basta ransomware group — técnicas relacionadas - CISA Advisory: Black Basta ransomware TTPs (2024)