Microsoft alerta sobre risco dos call centers falsos que espalham ransomware

Detalhadas pela Microsoft no final de junho, as ações do grupo criminoso BazarCall são mais perigosas do que a empresa acreditou inicialmente. Em um novo alerta transmitido nesta sexta-feira (30), ela avisou que a gangue responsável é altamente eficiente e, com a ajuda de call centers falsos, consegue iniciar ataques que levam a uma invasão de ransomware dentro de 48 horas.

• Criminosos usam falso suporte de call center para contaminar com ransomware
• IA permite a sistema de vigilância monitorar várias pessoas ao mesmo tempo
• Cibercrime está mais organizado devido à colaboração entre grupos, revela estudo

A preocupação da empresa é justificada pelo fato de que os ataques visam principalmente clientes do Office 365 e do Microsoft 365, que são enganados por e-mails falsos que avisam que as licenças dos softwares estão chegando ao fim. Ao entrar em contato com o número fornecido pelas mensagens, eles falam com um atendente que os direcionada a instalar a backdoor BazarCall (também conhecida como Bazacall).

Enquanto esse comportamento já era conhecido, o Time de Inteligência de Defesa do Microsoft 365 Defender elevou o grau de periculosidade da gangue devido à capacidade do malware de conhecedor o acesso remoto ao teclado das máquinas infectadas. “Em nossa observação, os ataques que emanam da ameaça BazaCall podem se mover rapidamente dentro de uma rede, conduzir uma ampla exfiltração de dados e roubo de credenciais e distribuir ransomware dentro de 48 horas após o comprometimento inicial”, alerta a empresa.

Fator humano ajuda na periculosidade do ataque

Entre os elementos que ajudam na velocidade das ações está o fator humano: ao evitar enviar links de phishing diretamente por e-mail, o grupo evita sistemas de detecções comuns. O contato por uma central de atendimento também facilita ganhar a confiança das vítimas, que acreditam no suposto profissionalismo de que faz as ligações.

Há indícios de que os responsáveis pelos golpes recentemente passaram a trabalhar junto aos responsáveis pelo Ryuk, ransomware que foi usado em ações que geraram mais de US$ 150 milhões (R$ 775 milhões) pagos em Bitcoins. A infecção se inicia a partir do CobaltStrike, aplicada através de macros presentes em arquivos do Excel, que garante aos atacantes a capacidade de pesquisar por contas de administrador e exfiltrar dados a partir delas.

Ao encontrar um alvo considerado valioso, os criminosos usam o software 7-Zip para arquivar suas propriedades intelectuais (incluindo dados sobre operações de segurança, informações financeiras e orçamentos), que são transferidos para seus sistemas. Nos casos em que há um bloqueio efetivo dos sistemas, eles também aplicam o Ryuk ou o Conti através de dispositivos de rede antes de enviar um pedido de pagamento de resgate.