Kelompok Ransomware Incar Organisasi Lewat Microsoft Teams

Kelompok ransomware yang dikenal sebagai “Black Basta” kembali muncul dengan taktik yang lebih canggih dan berani dalam menembus pertahanan organisasi. Kali ini, mereka menggunakan platform komunikasi populer, Microsoft Teams, untuk menjalankan aksi mereka. ReliaQuest, sebuah perusahaan keamanan siber terkemuka, menemukan kampanye terbaru Black Basta ini yang memanfaatkan pesan chat Teams dan kode QR berbahaya sebagai bagian dari upaya awal mereka mengakses sistem.

Selama ini, Black Basta sudah dikenal karena menggunakan spam email dan menyamar sebagai staf helpdesk palsu untuk mengelabui target mereka. Namun, kini mereka menaikkan level serangan dengan taktik social engineering yang lebih kompleks. Dalam insiden-insiden terbaru, penyerang Black Basta mengirimkan pesan melalui Teams, mengundang pengguna ke dalam obrolan dengan “pengguna eksternal” yang menggunakan akun Entra ID palsu.

Para pengguna eksternal ini tampak seperti staf pendukung atau admin yang bisa dipercaya, lengkap dengan nama akun yang meyakinkan, seperti “Helpdesk” atau “Support.” Ini membuat pengguna yang menjadi target lebih mudah terperdaya, karena tampilan akun-akun ini sekilas terlihat seperti bagian dari tim dukungan resmi perusahaan. Data dari ReliaQuest menunjukkan bahwa aktivitas serangan ini sering kali dilakukan dari Rusia, dengan zona waktu di aplikasi Teams yang terdeteksi berasal dari Moskow.

Selain menggunakan Microsoft Teams, Black Basta juga menambahkan trik baru berupa kode QR berbahaya. Dalam pesan obrolan, target menerima kode QR yang didesain menyerupai kode perusahaan yang asli. Biasanya, kode ini membawa logo atau branding perusahaan agar terlihat sah. Domain yang digunakan untuk aktivitas phishing ini diatur sedemikian rupa agar mirip dengan domain perusahaan target, bahkan sampai subdomainnya pun mengikuti pola tertentu untuk menambah kesan otentik.

Belum jelas tujuan akhir dari kode QR ini, namun ada dugaan kuat bahwa kode tersebut mengarahkan pengguna ke infrastruktur berbahaya yang telah disiapkan, memungkinkan Black Basta untuk menerapkan trik lanjutan. Biasanya, target diarahkan untuk memasang alat monitoring dan pengelolaan jarak jauh (RMM), yang memudahkan penyerang untuk mengakses sistem korban lebih dalam.

Kampanye terbaru Black Basta ini mengancam berbagai organisasi dari beragam sektor dan negara. Menurut ReliaQuest, intensitas serangan mereka sangat mengkhawatirkan. Dalam satu kasus, seorang pengguna menerima sekitar 1.000 email dalam waktu 50 menit, yang tentunya membuat sulit untuk menyaring pesan yang asli dari yang palsu. Setelah korban mengunduh file berbahaya, RMM digunakan untuk melakukan aktivitas “beaconing” melalui Cobalt Strike dan menggerakkan Impacket untuk berpindah antar sistem dalam jaringan.

Tujuan akhir dari semua upaya ini hampir pasti adalah ransomware. Dengan menggunakan pendekatan berlapis-lapis ini, Black Basta mengincar keuntungan besar dengan memaksa organisasi membayar tebusan untuk data mereka.

Langkah Pencegahan yang Disarankan

ReliaQuest menyarankan sejumlah tindakan untuk membantu organisasi melindungi diri dari ancaman ini, antara lain:

• Memblokir domain dan subdomain yang teridentifikasi berbahaya: Ini membantu mencegah pengguna terhubung ke situs-situs yang digunakan untuk aktivitas phishing.
• Mematikan akses pengguna eksternal di Microsoft Teams atau hanya mengizinkan domain yang tepercaya: Langkah ini bisa membantu mengurangi risiko serangan phishing di platform tersebut.
• Mengatur kebijakan anti-spam yang agresif dalam sistem email: Ini bertujuan mengurangi jumlah email berbahaya yang lolos ke kotak masuk pengguna.
• Mengaktifkan logging di Microsoft Teams, khususnya event ChatCreated: Dengan ini, tim keamanan bisa melacak dan menyelidiki aktivitas mencurigakan.

Organisasi juga disarankan untuk melatih karyawan mengenai taktik social engineering yang sedang marak, supaya mereka lebih waspada terhadap ancaman yang muncul. Pelatihan ini sebaiknya dipadukan dengan pendekatan pertahanan yang berlapis, seperti memasang firewall, sistem deteksi intrusi, dan melakukan audit keamanan secara rutin.

Serangan dari Black Basta menunjukkan bahwa kelompok ini terus memperbarui metode mereka untuk tetap selangkah lebih maju. Oleh karena itu, organisasi perlu proaktif dalam memperkuat keamanan siber mereka. Dengan tetap mengikuti perkembangan ancaman terbaru, menerapkan protokol keamanan yang kuat, dan membangun kesadaran karyawan terhadap keamanan digital, risiko terjebak dalam serangan ransomware canggih seperti ini bisa diminimalisir.