O ransomware DragonForce, ativo desde 2023, utiliza um malware personalizado chamado ‘Backdoor.Turn’ para esconder o tráfego de comando e controle dentro da infraestrutura de relé do Microsoft Teams. Esse backdoor explora o protocolo TURN (Traversal Using Relays around NAT) do Teams, que é usado para distribuir mensagens quando uma conexão direta não está disponível. Pesquisadores da Symantec relataram que os hackers usaram esse malware baseado em Go em um ataque contra uma grande empresa de serviços nos EUA. O ataque começou com a exploração de uma falha desconhecida em um servidor SQL, seguido pelo download de um arquivo ZIP contendo um executável legítimo e um DLL malicioso. Os atacantes conseguiram obter privilégios de nível de kernel e desativar ferramentas de segurança, utilizando técnicas de BYOVD (Bring Your Own Vulnerable Driver). O Backdoor.Turn permite execução de comandos, criação de processos, e roubo de credenciais, culminando na exfiltração de dados e na implantação do ransomware DragonForce. A Sophos destaca que essa campanha demonstra um nível excepcionalmente sofisticado de técnicas cibernéticas. A publicação inclui uma lista de indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio de tais ataques.
Fonte: https://www.bleepingcomputer.com/news/security/ransomware-gang-abuses-microsoft-teams-relays-to-hide-malicious-traffic/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
16/06/2026 • Risco: ALTO
RANSOMWARE
Ransomware DragonForce usa malware para ocultar tráfego no Teams
RESUMO EXECUTIVO
O uso do Backdoor.Turn para ocultar tráfego de comando e controle no Microsoft Teams representa uma nova fronteira em ataques de ransomware. A exploração de vulnerabilidades em servidores SQL e a utilização de técnicas de evasão sofisticadas destacam a necessidade de vigilância contínua e atualização das defesas cibernéticas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos potenciais associados à recuperação de dados e interrupção de serviços.
Operacional
Exfiltração de dados e criptografia de sistemas pela ransomware DragonForce.
Setores vulneráveis
['Setor de serviços', 'Tecnologia da informação']
📊 INDICADORES CHAVE
Uso do protocolo TURN do Microsoft Teams para ocultar tráfego.
Indicador
Exploits de múltiplos drivers vulneráveis para obter privilégios de kernel.
Contexto BR
Primeiro malware conhecido a abusar dos relés TURN do Teams.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar logs de acesso e tráfego do Microsoft Teams para identificar atividades suspeitas.
2
Implementar atualizações de segurança e patches para vulnerabilidades conhecidas.
3
Monitorar continuamente o tráfego de rede em busca de comunicações não autorizadas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a sofisticação dos ataques e a exploração de plataformas amplamente utilizadas, como o Microsoft Teams, que pode impactar a segurança organizacional.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
