Ransomware-Gruppe tarnt sich als IT-Support
Bereits im Mai dieses Jahres veröffentlichten Sicherheitsforscher von Rapid7 und ReliaQuest Hinweise auf eine neue Social-Engineering-Kampagne von Black Basta, die die Posteingänge der betroffenen Mitarbeiter mit Tausenden von E-Mails flutete. Diese E-Mails waren an sich nicht bösartig und bestanden hauptsächlich aus Newslettern, Anmeldebestätigungen und E-Mail-Bestätigungen, aber sie füllten schnell die Posteingänge ihrer Opfer. Im Anschluss meldeten sich die Angreifer telefonisch bei ihren Zielpersonen und gaben sich als IT-Support des angegriffenen Unternehmens aus, der bei Lösung des Spam-Problems helfen sollte. Im Laufe des Telefonats versuchten die Kriminellen das Opfer mittels Social Engineering dazu zu bringen, die Software AnyDesk zu installieren oder das Tool Windows Quick Assist zu starten, um aus der Ferne Zugriff auf den Rechner des Opfers zu erlangen.
Gelang es ihnen, ihre Zielperson zu überzeugen, führten die Angreifer ein Skript aus, das verschiedene Programme wie ScreenConnect, NetSupport Manager und Cobalt Strike installiert, die einen dauerhaften Fernzugriff auf das Firmengerät des Opfers ermöglichen. Nachdem der Angreifer auf diese Weise Zugang erlangt hat, breitet er sich im Unternehmensnetzwerk auf andere Geräte aus, stiehlt und verschlüsselt Daten.
Wie die Sicherheitsforscher von ReliaQuest nun berichten, haben die BlackBasta-Angreifer mittlerweile eine neue Taktik entwickelt und nutzen nun auch Microsoft Teams, um ihre Opfer zu kontaktieren. Wie beim bisherigen Angriffsschema wird dabei zunächst der Posteingang der Zielperson mit Spam geflutet. Doch statt eines Anrufs erhält sie nun ein vermeintliches Hilfsangebot von einem externen User über Microsoft Teams, der sich als IT-Helpdesk des attackierten Unternehmens ausgibt.
Laut ReliaQuest enthält der Username des Accounts der Angreifer meist die Worte „Help Desk“, um die Opfer in Sicherheit zu wiegen. Außerdem versenden die Angreifer offenbar QR-Codes, obwohl noch nicht klar ist, wofür diese genutzt werden. Ziel des Angriffs ist wie bereits in der Vergangenheit, die CobaltStrike-Malware zu installieren und sich so Zugang zum Netzwerk des Opfers zu verschaffen.
Um sich vor derartigen Angriffen zu schützen, ist es ratsam, die Kommunikation mit externen Nutzern über Teams einzuschränken.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 (6321) 484460
E-Mail: redaktion@8com.de