InternetIntelligenz 2.0

kostenlos Pressemitteilungen einstellen | veröffentlichen | verteilen

Pressemitteilungen

 

Ransomware-Gruppe tarnt sich als IT-Support

ID: 2134194

Die Gruppe hinter der BlackBasta-Ransomware hat ihre Social-Engineering-Aktivitäten zu Microsoft Teams verlagert, wo sich die Cyberkriminellen als IT-Support ausgeben und Mitarbeiter kontaktieren.

(PresseBox) - Die Cyberkriminellen hinter der Ransomware BlackBasta sind seit April 2022 aktiv und für hunderte Angriffe auf Unternehmen weltweit verantwortlich. Es wird vermutet, dass die Gruppe aus einem Teil des Syndikats Conti hervorgegangen ist, das im Juni 2022 zerschlagen wurde. Bei ihren Angriffen dringen Black-Basta-Mitglieder mit verschiedenen Methoden in Netzwerke ein, beispielsweiseüber Schwachstellen in Software, Malware-Botnets oder über Social Engineering.

Bereits im Mai dieses Jahres veröffentlichten Sicherheitsforscher von Rapid7 und ReliaQuest Hinweise auf eine neue Social-Engineering-Kampagne von Black Basta, die die Posteingänge der betroffenen Mitarbeiter mit Tausenden von E-Mails flutete. Diese E-Mails waren an sich nicht bösartig und bestanden hauptsächlich aus Newslettern, Anmeldebestätigungen und E-Mail-Bestätigungen, aber sie füllten schnell die Posteingänge ihrer Opfer. Im Anschluss meldeten sich die Angreifer telefonisch bei ihren Zielpersonen und gaben sich als IT-Support des angegriffenen Unternehmens aus, der bei Lösung des Spam-Problems helfen sollte. Im Laufe des Telefonats versuchten die Kriminellen das Opfer mittels Social Engineering dazu zu bringen, die Software AnyDesk zu installieren oder das Tool Windows Quick Assist zu starten, um aus der Ferne Zugriff auf den Rechner des Opfers zu erlangen.

Gelang es ihnen, ihre Zielperson zuüberzeugen, führten die Angreifer ein Skript aus, das verschiedene Programme wie ScreenConnect, NetSupport Manager und Cobalt Strike installiert, die einen dauerhaften Fernzugriff auf das Firmengerät des Opfers ermöglichen. Nachdem der Angreifer auf diese Weise Zugang erlangt hat, breitet er sich im Unternehmensnetzwerk auf andere Geräte aus, stiehlt und verschlüsselt Daten.

Wie die Sicherheitsforscher von ReliaQuest nun berichten, haben die BlackBasta-Angreifer mittlerweile eine neue Taktik entwickelt und nutzen nun auch Microsoft Teams, um ihre Opfer zu kontaktieren. Wie beim bisherigen Angriffsschema wird dabei zunächst der Posteingang der Zielperson mit Spam geflutet. Doch statt eines Anrufs erhält sie nun ein vermeintliches Hilfsangebot von einem externen User über Microsoft Teams, der sich als IT-Helpdesk des attackierten Unternehmens ausgibt.





Laut ReliaQuest enthält der Username des Accounts der Angreifer meist die Worte „Help Desk“, um die Opfer in Sicherheit zu wiegen. Außerdem versenden die Angreifer offenbar QR-Codes, obwohl noch nicht klar ist, wofür diese genutzt werden. Ziel des Angriffs ist wie bereits in der Vergangenheit, die CobaltStrike-Malware zu installieren und sich so Zugang zum Netzwerk des Opfers zu verschaffen.

Um sich vor derartigen Angriffen zu schützen, ist es ratsam, die Kommunikation mit externen Nutzern über Teams einzuschränken.

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen.Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Unternehmensinformation / Kurzprofil:

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam einökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.



drucken  als PDF  an Freund senden  
Bereitgestellt von Benutzer: PresseBox
Datum: 30.10.2024 - 12:26 Uhr
Sprache: Deutsch
News-ID 2134194
Anzahl Zeichen: 0

Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:

Neustadt an der Weinstraße


Telefon: +49 (30) 30308089-14+49 (6321) 484460

Kategorie:



Dieser Fachartikel wurde bisher 11 mal aufgerufen.


Der Fachartikel mit dem Titel:
"Ransomware-Gruppe tarnt sich als IT-Support"
steht unter der journalistisch-redaktionellen Verantwortung von

8com GmbH&Co. KG (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).


Alle Meldungen von 8com GmbH&Co. KG



 

Wer ist Online

Alle Mitglieder: 50.255
Registriert Heute: 1
Registriert Gestern: 0
Mitglied(er) online: 0
Gäste Online: 90


Bitte registrieren Sie sich hier. Als angemeldeter Benutzer nutzen Sie den vollen Funktionsumfang dieser Seite.