O grupo de ransomware Black Basta tem diversificado suas táticas de engenharia social, utilizando novas técnicas como bombardeio de e-mails e envio de códigos QR maliciosos, além de malware como Zbot e DarkGate. Desde outubro de 2024, os operadores têm implementado estratégias avançadas para comprometer sistemas e roubar credenciais de usuários.
Uma das táticas consiste em sobrecarregar as vítimas com e-mails indesejados, inscrevendo-as em várias listas de mailing simultaneamente. Após o bombardeio, os invasores entram em contato com as vítimas, geralmente por meio de plataformas como o Microsoft Teams, se passando por equipes de suporte ou funcionários de TI. Eles persuadem as vítimas a instalar softwares legítimos de acesso remoto, como AnyDesk e TeamViewer, que são então usados para implantar outros malwares e coletar credenciais. Entre as técnicas mais sofisticadas está o envio de códigos QR via chat. Esses códigos são usados para redirecionar as vítimas a infraestrutura maliciosa ou para roubar credenciais sob o pretexto de adicionar dispositivos confiáveis.
Além disso, os atacantes utilizam ferramentas como OpenSSH para estabelecer shells reversos e explorar a infraestrutura das organizações comprometidas. Os ataques também visam coletar arquivos de configuração de VPN e informações para bypass de MFA, permitindo acesso direto aos sistemas das organizações. Essa abordagem demonstra uma evolução no modelo operacional do Black Basta, que anteriormente dependia de botnets como o QakBot e agora incorpora engenharia social em seus métodos de ataque.
