Ransomware Menyamar Jadi Tim Dukungan di Microsoft Teams!

Belakangan ini, ransomware berbahaya yang bernama Black Basta semakin kreatif dalam melancarkan aksinya. Setelah sukses membuat masalah bagi banyak perusahaan sejak pertama kali muncul pada April 2022, Black Basta kini punya trik baru: menyamar sebagai bagian dukungan teknis di Microsoft Teams. Tujuannya? Tentu saja, untuk mengelabui karyawan agar mereka sendiri yang memberi akses ke perangkat perusahaan!

Siapa dan Apa Itu Black Basta?

Black Basta adalah kelompok ransomware yang sudah dikenal di dunia maya sejak 2022, bertanggung jawab atas ratusan serangan terhadap perusahaan di seluruh dunia. Sebelumnya, kelompok ini diduga berafiliasi dengan geng kriminal cyber terkenal bernama Conti, yang bubar di tahun yang sama setelah serangkaian insiden kebocoran data yang memalukan. Setelah itu, beberapa anggotanya terpecah dan diduga ada yang membentuk Black Basta.

Strategi Serangan Black Basta: "Serangan Rekayasa Sosial"

Black Basta memang lihai dalam teknik serangan yang disebut “rekayasa sosial,” yaitu memanfaatkan kelengahan atau kepanikan orang untuk menjerat mereka. Misalnya, pada bulan Mei, tim keamanan dari Rapid7 dan ReliaQuest menemukan bahwa Black Basta mengirimkan ribuan email spam ke karyawan perusahaan tertentu. Email-email ini terlihat biasa saja, berisi konfirmasi pendaftaran, buletin, atau verifikasi email. Namun, volume email yang besar ini cepat sekali memenuhi kotak masuk, membuat karyawan kewalahan.

Ketika para korban merasa frustasi dengan banjir email tersebut, Black Basta tidak tinggal diam. Mereka memanfaatkan momen ini untuk menghubungi para karyawan, berpura-pura sebagai tim dukungan teknis perusahaan. Pelaku menelepon dan menawarkan "bantuan" untuk membersihkan kotak masuk yang dipenuhi spam tersebut.

Minta Akses Jarak Jauh

Dalam panggilan teleponnya, pelaku akan membujuk karyawan untuk memasang alat akses jarak jauh seperti AnyDesk atau memanfaatkan fitur bantuan jarak jauh yang ada di Windows, Quick Assist. Melalui perangkat lunak ini, pelaku sebenarnya sedang menyiapkan jalan untuk mengakses perangkat perusahaan secara penuh.

Setelah masuk, pelaku biasanya menjalankan skrip yang menginstal perangkat lunak tambahan seperti ScreenConnect, NetSupport Manager, atau Cobalt Strike. Semua alat ini dirancang untuk memberi mereka kendali penuh atas perangkat, memungkinkan mereka mengakses data, dan menginstal ransomware di kemudian hari.

Trik Baru di Microsoft Teams

Seiring waktu, Black Basta terus mengembangkan tekniknya. Pada Oktober, mereka mulai menggunakan Microsoft Teams sebagai sarana baru untuk menipu karyawan. Alih-alih menelepon korban, kini pelaku menghubungi langsung lewat chat di Microsoft Teams, berpura-pura sebagai tim dukungan teknis perusahaan. Profil pengguna mereka dibuat seolah-olah seperti akun resmi perusahaan, misalnya dengan nama “Help Desk” atau “Support Service Admin,” lengkap dengan alamat domain yang terlihat terpercaya seperti “supportadministrator.onmicrosoft.com.”

Tak berhenti di sana, pelaku bahkan mengirimkan kode QR di chat untuk memudahkan "bantuan" bagi para korban. Kode QR ini membawa pengguna ke situs tertentu yang sebenarnya berisi perangkat lunak berbahaya atau instruksi untuk memasang perangkat lunak akses jarak jauh. Data menunjukkan bahwa pengguna eksternal ini sering kali berasal dari Rusia, terlihat dari zona waktu di akun-akun palsu mereka.

Tujuan Akhir: Menyusup dan Mengenkripsi Data Perusahaan

Setelah mendapatkan akses awal ke perangkat, pelaku bisa melanjutkan aksi dengan memasang berbagai aplikasi yang berpura-pura menjadi alat keamanan, seperti "AntispamAccount.exe" atau "AntispamUpdate.exe." Nyatanya, aplikasi ini adalah malware yang memungkinkan mereka melakukan serangan yang lebih dalam di jaringan perusahaan. Cobalt Strike, salah satu alat favorit mereka, membantu memberikan akses penuh untuk melumpuhkan perangkat dengan ransomware. Ini menjadi titik akhir serangan, di mana seluruh data perusahaan bisa dienkripsi, lalu tebusan diminta untuk mengembalikannya.

Cara Melindungi Diri dari Serangan Ini

ReliaQuest memberikan beberapa saran untuk mengurangi risiko dari serangan semacam ini. Salah satu langkah utama adalah membatasi komunikasi dari pengguna eksternal di Microsoft Teams. Jika memungkinkan, perusahaan hanya perlu mengizinkan interaksi dari domain yang tepercaya. Selain itu, log aktivitas pengguna eksternal, terutama untuk event "ChatCreated," bisa digunakan untuk mendeteksi chat yang mencurigakan sebelum masalah menjadi lebih besar. 

Perkembangan serangan yang dilakukan oleh Black Basta ini adalah pengingat pentingnya kewaspadaan dalam menghadapi komunikasi digital, terutama dari sumber yang tidak dikenal. Serangan ini menunjukkan betapa inovatifnya para pelaku kejahatan cyber dalam mencari cara baru untuk masuk ke sistem perusahaan.

Tetap waspada, dan pastikan untuk tidak memberikan akses ke perangkat atau informasi sensitif tanpa verifikasi yang jelas. Di dunia maya, tidak semua yang terlihat seperti bantuan memang benar-benar datang untuk membantu.