Cibercriminosos do grupo Storm-1811 estão abusando do Microsoft Teams e do Quick Assist para invadir redes corporativas, se passando por equipes de suporte técnico interno. A tática combina bombardeio de e-mails spam, chamadas externas via Teams e acesso remoto legítimo para instalar ransomwares como o Black Basta, causando prejuízos que já superam US$ 107 milhões em resgates desde outubro de 2024.
Uma ferramenta de suporte técnico presente em milhões de computadores corporativos tornou-se o principal vetor de entrada para grupos de ransomware. O Microsoft Teams e o Quick Assist estão sendo explorados pelo grupo Storm-1811 para enganar funcionários, obter acesso remoto e instalar malwares devastadores, tudo isso sem acionar os controles de segurança tradicionais.
Como o ataque começa: spam, Teams e engenharia social
A cadeia de ataque segue um roteiro preciso. Primeiro, a vítima recebe uma enxurrada de e-mails spam em curto período, técnica conhecida como email bombing. O objetivo não é a mensagem em si, mas criar confusão e urgência.
Em seguida, alguém entra em contato via Microsoft Teams se passando por um analista de TI da própria empresa. O discurso é simples: “Estamos recebendo alertas sobre sua conta. Preciso acessar seu computador para resolver o problema.”
O funcionário, já sobrecarregado pelos e-mails e acreditando falar com o suporte interno, segue as instruções. Ele abre o Quick Assist, ferramenta nativa do Windows para acesso remoto, e concede controle total da máquina ao atacante.
A partir desse momento, o relógio começa a correr. Em 30 a 120 segundos após obter acesso, os criminosos já executam comandos de reconhecimento para mapear privilégios, coletar informações do host e avaliar a conectividade da rede.
O arsenal: de QakBot ao ransomware Black Basta
Com acesso estabelecido, o grupo implanta uma sequência de ferramentas maliciosas. Scripts em PowerShell e cURL são executados para baixar e instalar payloads como QakBot e Cobalt Strike, este último amplamente utilizado para movimentação lateral dentro da rede.
O estágio final é a implantação do ransomware Black Basta. Para propagar o ataque pela rede corporativa, os criminosos utilizam o PsExec, ferramenta legítima de administração remota. Documentos e arquivos estratégicos são exfiltrados com o Rclone, enviados para armazenamentos em nuvem externos antes da criptografia.
Mais recentemente, o Matanbuchus 3.0 passou a integrar essa cadeia. Lançado em 2021 como serviço de malware (MaaS) por US$ 2.500, o Matanbuchus evoluiu para uma versão com execução na memória, ofuscação avançada e suporte a shells reversas, o que dificulta ainda mais a detecção por soluções tradicionais de segurança.
O modelo MaaS democratiza o acesso a essas táticas. Grupos menos sofisticados agora podem alugar o Matanbuchus 3.0 e executar campanhas complexas contra empresas de qualquer porte.
Números que revelam a escala do problema
Os dados coletados pela Trend Micro entre outubro de 2024 e 2025 mostram a dimensão do problema. Só na América do Norte, foram registradas 21 brechas confirmadas, 17 nos Estados Unidos, 5 no Canadá e 5 no Reino Unido. A Europa contabilizou 18 incidentes no mesmo período.
Os grupos Black Basta e Cactus acumularam mais de US$ 107 milhões em resgates pagos em Bitcoin desde outubro de 2024. O valor reflete não apenas a escala dos ataques, mas a eficácia de uma abordagem que contorna controles técnicos ao explorar a confiança humana.
Em novembro de 2025, o DART (Detection and Response Team) da Microsoft documentou um caso real. Dois funcionários da empresa-alvo identificaram a tentativa e recusaram cooperar. Um terceiro, porém, cedeu e concedeu acesso remoto via Quick Assist. O incidente reforça que a resistência ao ataque depende de treinamento consistente, não apenas de tecnologia.
Por que esse vetor é tão difícil de bloquear
O que torna essa ameaça especialmente crítica para líderes de TI é a natureza das ferramentas envolvidas. O Microsoft Teams é plataforma oficial de comunicação corporativa. O Quick Assist é aplicativo nativo do Windows, assinado pela Microsoft. Nenhum dos dois é malware, o que significa que firewalls, antivírus e EDRs tradicionais raramente os sinalizam como ameaça.
Os atacantes não precisam explorar vulnerabilidades técnicas. Eles exploram a confiança que os funcionários depositam nas ferramentas que usam todos os dias. Isso representa uma mudança fundamental no vetor de ataque corporativo.
A Microsoft respondeu suspendendo contas e tenants identificados como inautênticos e incorporando avisos sobre possíveis golpes de suporte técnico diretamente na interface do Quick Assist. As medidas reduzem o risco, mas não o eliminam.
O que líderes de TI e segurança devem fazer agora
O setor de cibersegurança convergiu em torno de um conjunto de recomendações práticas. A primeira é restringir ou desativar o Quick Assist em estações de trabalho que não necessitam da ferramenta. O acesso remoto legítimo deve ser feito por soluções corporativas auditadas e monitoradas.
No Teams, o bloqueio de comunicações externas ou a criação de um fluxo de aprovação para contatos fora do domínio corporativo reduz significativamente a superfície de ataque. Nenhum analista de TI interno deve se apresentar via conta externa.
A implementação de MFA resistente a phishing, como chaves de segurança físicas ou passkeys, dificulta o movimento lateral mesmo após uma invasão inicial. Monitorar o uso do WinRM, PsExec e Rclone na rede também permite detectar atividades pós-exploração antes que o ransomware seja implantado.
O treinamento de conscientização precisa evoluir. Programas convencionais focam em phishing por e-mail. A ameaça atual exige que funcionários saibam reconhecer golpes de suporte técnico via chamadas de voz e vídeo, um vetor ainda pouco coberto na maioria das organizações.
A combinação do Microsoft Teams e Quick Assist como vetor de ataque expõe uma lacuna crítica, a segurança corporativa ainda é tão forte quanto o funcionário menos treinado na empresa.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!