Die Cyberkriminellen hinter der Ransomware BlackBasta sind seit April 2022 aktiv und für hunderte Angriffe auf Unternehmen weltweit verantwortlich. Es wird vermutet, dass die Gruppe aus einem Teil des Syndikats Conti hervorgegangen ist, das im Juni 2022 zerschlagen wurde. Bei ihren Angriffen dringen Black-Basta-Mitglieder mit verschiedenen Methoden in Netzwerke ein, beispielsweise über Schwachstellen in Software, Malware-Botnets oder über Social Engineering.
Bereits im Mai dieses Jahres veröffentlichten Sicherheitsforscher von Rapid7 und ReliaQuest Hinweise auf eine neue Social-Engineering-Kampagne von Black Basta, die die Posteingänge der betroffenen Mitarbeiter mit Tausenden von E-Mails flutete. Diese E-Mails waren an sich nicht bösartig und bestanden hauptsächlich aus Newslettern, Anmeldebestätigungen und E-Mail-Bestätigungen, aber sie füllten schnell die Posteingänge ihrer Opfer. Im Anschluss meldeten sich die Angreifer telefonisch bei ihren Zielpersonen und gaben sich als IT-Support des angegriffenen Unternehmens aus, der bei Lösung des Spam-Problems helfen sollte. Im Laufe des Telefonats versuchten die Kriminellen das Opfer mittels Social Engineering dazu zu bringen, die Software AnyDesk zu installieren oder das Tool Windows Quick Assist zu starten, um aus der Ferne Zugriff auf den Rechner des Opfers zu erlangen.
Gelang es ihnen, ihre Zielperson zu überzeugen, führten die Angreifer ein Skript aus, das verschiedene Programme wie ScreenConnect, NetSupport Manager und Cobalt Strike installiert, die einen dauerhaften Fernzugriff auf das Firmengerät des Opfers ermöglichen. Nachdem der Angreifer auf diese Weise Zugang erlangt hat, breitet er sich im Unternehmensnetzwerk auf andere Geräte aus, stiehlt und verschlüsselt Daten.
Wie die Sicherheitsforscher von ReliaQuest nun berichten, haben die BlackBasta-Angreifer mittlerweile eine neue Taktik entwickelt und nutzen nun auch Microsoft Teams, um ihre Opfer zu kontaktieren. Wie beim bisherigen Angriffsschema wird dabei zunächst der Posteingang der Zielperson mit Spam geflutet. Doch statt eines Anrufs erhält sie nun ein vermeintliches Hilfsangebot von einem externen User über Microsoft Teams, der sich als IT-Helpdesk des attackierten Unternehmens ausgibt.
Laut ReliaQuest enthält der Username des Accounts der Angreifer meist die Worte „Help Desk“, um die Opfer in Sicherheit zu wiegen. Außerdem versenden die Angreifer offenbar QR-Codes, obwohl noch nicht klar ist, wofür diese genutzt werden. Ziel des Angriffs ist wie bereits in der Vergangenheit, die CobaltStrike-Malware zu installieren und sich so Zugang zum Netzwerk des Opfers zu verschaffen.
Um sich vor derartigen Angriffen zu schützen, ist es ratsam, die Kommunikation mit externen Nutzern über Teams einzuschränken.
Bild (c) Gerd Altmann / Pixabay