Os brokers são corretores de acesso inicial famosos por atuarem com grupos de ransomware. No entanto, atualmente eles alteraram para ataques de phishing e estão utilizando a plataforma Teams, da Microsoft, para roubar contas e violar redes empresariais.
O principal objetivo de tais grupos é obter retorno financeiro e, neste caso em específico, é nomeado Storm-0324. Em sua atuação, costuma aplicar os ransomware Sage e GandCrab.
Também foram os responsáveis por dar à gangue criminosa FIN7 o acesso às redes corporations após terem a afetado ao utilizar malwares JSSLoader, Gozi e Nymaim. A gangue ainda realizou outra ação ao incluir o ransomware Clop nas redes das vítimas. Atualmente a organização também é conhecida como Sangria Tempest e ELBRUS.
VEJA SOBRE: Diminui a preocupação dos brasileiros em compartilhar dados financeiros
De acordo com a Microsoft, “em julho, o Storm-0324 começou a usar iscas de phishing enviadas pelo Teams com links que levam a um arquivo malicioso hospedado no SharePoint”. Também informou que “para essa atividade, o Storm-0324 provavelmente depende de uma ferramenta disponível publicamente chamada TeamsPhisher.”
A gangue FIN7 estava previamente conectada ao ransomware REvil e ao Maze, antes das operações de ransomware como serviço (Raas) BlackMatter e DarkSide que não acontecem mais.
A partir do instrumento de código aberto é possível que os criminosos passem pelos bloqueios dos arquivos recebidos de locatários externos e mandem anexos de phishing para as pessoas que utilizam Teams.
Para conseguir realizar tal ação, costumam explorar uma falha do aplicativo encontrada pelos pesquisadores de segurança da empresa Jumpsec. O erro era de conhecimento da empresa Microsoft que avisou na época que “não atendia ao padrão para manutenção imediata”.
A falha também foi aproveitada pela divisão de hackers do Serviço de Inteligência Estrangeira da Rússia (SVR), nomeada APT29, durante ações contra diversas instituições, em especial as voltadas para o governo de diversos países.
VEJA SOBRE: Vazamento do Banco Central leva a exposição de 238 chaves Pix
Da última vez, com os ataques do APT29, a intenção final era o roubo de credenciais das vítimas que caem nas mentiras de aprovação de prompts de autenticação multifator (MFA). Com a ação recente do Storm-0324 ainda não é possível entender o objetivo.
A empresa destaca que “leva essas campanhas de phishing muito a sério e lançou várias melhorias para se defender melhor contra essas ameaças” e que está se movimentando para auxiliar os clientes da plataforma e protegê-los da ação criminosa.
A Microsoft ainda pontua que os operadores de ameaças, que se baseiam nos métodos de phishing, passam a ser vistos como usuários externos em situações onde o acesso externo é disponibilizado nas configurações de uma instituição.
Como ação de resposta, a empresa ainda retirou as contas e locatários utilizados na campanha.
Fonte: Ciso Advisor
