O grupo de ransomware DragonForce invadiu a rede de uma grande empresa de serviços dos Estados Unidos e permaneceu oculto por até dois meses. Para isso, os criminosos mascararam o tráfego de comando e controle dentro do Microsoft Teams. A informação consta em um relatório divulgado pela Symantec e pela Carbon Black na última terça-feira (16).
Tráfego de comando e controle, ou C&C, é a comunicação entre o malware instalado na máquina da vítima e o servidor controlado pelos invasores. É por esse canal que os criminosos enviam ordens e exfiltram dados. No caso do DragonForce, esse tráfego foi dissimulado em conexões aparentemente normais do Teams.
smart_display
Nossos vídeos em destaque
Para realizar a invasão, os atacantes utilizaram um RAT (cavalo de troia de acesso remoto). Esse tipo de malware permite controlar remotamente a máquina infectada, como se o criminoso estivesse sentado diante do computador da vítima.
Backdoor escondia conexões dentro de servidores do Teams
Os pesquisadores nomearam o malware usado no ataque de Backdoor[.]Turn. O programa foi escrito em Go e abusava dos servidores TURN do Microsoft Teams, que fazem parte da infraestrutura de chamadas de vídeo e voz do aplicativo.
O backdoor obtinha um token de visitante anônimo nos serviços de identidade do Teams, baseados na infraestrutura do Skype. Com esse token, ele utilizava um servidor TURN legítimo da Microsoft para abrir uma conexão disfarçada como tráfego comum do Teams.
Essa comunicação ocorria por meio do QUIC, um protocolo de transporte de rede. O uso do QUIC, aliado à aparência de tráfego do Teams, tornava a comunicação maliciosa quase indistinguível para as ferramentas de segurança.
 "Grupo criminoso ocultou ataque ao Microsoft Teams por dois meses 2")
Defensores só viam acessos legítimos ao Teams
Segundo os pesquisadores, a configuração do Backdoor[.]Turn fazia com que as soluções de segurança identificassem apenas conexões com servidores legítimos do Teams. Isso impedia as equipes de defesa de perceberem que dados estavam sendo exfiltrados da rede.
Além de ocultar a comunicação, o backdoor oferecia outras funcionalidades. Ele permitia executar comandos remotamente e escanear a rede em busca de outros equipamentos vulneráveis.
O malware também realizava movimento lateral pela rede usando credenciais roubadas. Ou seja, ao comprometer um computador, os invasores aproveitavam senhas encontradas nele para alcançar outras máquinas da mesma infraestrutura. O Backdoor[.]Turn também furtava senhas salvas em navegadores.
 "Grupo criminoso ocultou ataque ao Microsoft Teams por dois meses 3")
Falha desconhecida em driver da Huawei ajudou a esconder o ataque
Os criminosos também exploraram uma vulnerabilidade em um driver da Huawei que, na época do ataque, não era pública. A falha só foi detalhada pela empresa de segurança Huntress em março de 2026.
Essa técnica é conhecida como BYOVD (bring your own vulnerable driver). Basicamente, o invasor instala um driver legítimo, porém vulnerável, no sistema da vítima. Com um driver desse tipo é possível executar código com privilégios elevados e contornar ferramentas de detecção, como antivírus e soluções de EDR.
Mudanças no Windows garantiram acesso contínuo à rede
Para manter o acesso pelo maior tempo possível, os atacantes alteraram configurações do Windows. Eles desativaram a opção Limit Blank Password, que costuma bloquear logins com senhas em branco em contas administrativas.
Os criminosos também criaram novas contas de usuário na rede, garantindo caminhos alternativos caso a invasão inicial fosse descoberta pela equipe de segurança da empresa.
Outra medida foi ajustar regras do firewall. As alterações liberaram acesso remoto à rede sem impedir a comunicação com o servidor de comando e controle dos invasores.
Invasão pode ter começado por falha em servidor SQL
De acordo com os pesquisadores, o primeiro acesso à rede da vítima provavelmente ocorreu pela exploração de uma vulnerabilidade em um servidor SQL ou MSSQL. A partir dessa brecha, os atacantes avançaram pelo restante da infraestrutura da empresa.
Depois de até dois meses circulando pela rede sem serem detectados, o grupo finalmente acionou o ransomware DragonForce, o que envolveu o roubo de dados e a criptografia das máquinas da empresa.
Não há informações públicas sobre se a vítima pagou resgate para obter a chave de descriptografia, nem se houve negociação para a exclusão dos dados roubados.
 "Grupo criminoso ocultou ataque ao Microsoft Teams por dois meses 4")
DragonForce é um dos grupos de ransomware mais ativos da atualidade
O DragonForce se consolidou como um dos grupos de ransomware mais conhecidos nos últimos anos. O coletivo já reivindicou ataques contra várias redes varejistas de grande porte.
Para os pesquisadores, a combinação entre o uso do Backdoor.Turn e técnicas de evasão que empregam múltiplos drivers vulneráveis coloca o DragonForce entre os grupos de ransomware mais capazes e persistentes em atividade atualmente.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e no canal do YouTube.
