Ransomware-Gruppe tarnt sich als IT-Support

Die Cyberkriminellen hinter der Ransomware BlackBasta sind seit April 2022 aktiv und für hunderte Angriffe auf Unternehmen weltweit verantwortlich. Es wird vermutet, dass die Gruppe aus einem Teil des Syndikats Conti hervorgegangen ist, das im Juni 2022 zerschlagen wurde. Bei ihren Angriffen dringen Black-Basta-Mitglieder mit verschiedenen Methoden in Netzwerke ein, beispielsweise über Schwachstellen in Software, Malware-Botnets oder über Social Engineering.

Bereits im Mai dieses Jahres veröffentlichten Sicherheitsforscher von Rapid7 und ReliaQuest Hinweise auf eine neue Social-Engineering-Kampagne von Black Basta, die die Posteingänge der betroffenen Mitarbeiter mit Tausenden von E-Mails flutete. Diese E-Mails waren an sich nicht bösartig und bestanden hauptsächlich aus Newslettern, Anmeldebestätigungen und E-Mail-Bestätigungen, aber sie füllten schnell die Posteingänge ihrer Opfer. Im Anschluss meldeten sich die Angreifer telefonisch bei ihren Zielpersonen und gaben sich als IT-Support des angegriffenen Unternehmens aus, der bei Lösung des Spam-Problems helfen sollte. Im Laufe des Telefonats versuchten die Kriminellen das Opfer mittels Social Engineering dazu zu bringen, die Software AnyDesk zu installieren oder das Tool Windows Quick Assist zu starten, um aus der Ferne Zugriff auf den Rechner des Opfers zu erlangen.

Gelang es ihnen, ihre Zielperson zu überzeugen, führten die Angreifer ein Skript aus, das verschiedene Programme wie ScreenConnect, NetSupport Manager und Cobalt Strike installiert, die einen dauerhaften Fernzugriff auf das Firmengerät des Opfers ermöglichen. Nachdem der Angreifer auf diese Weise Zugang erlangt hat, breitet er sich im Unternehmensnetzwerk auf andere Geräte aus, stiehlt und verschlüsselt Daten.

Wie die Sicherheitsforscher von ReliaQuest nun berichten, haben die BlackBasta-Angreifer mittlerweile eine neue Taktik entwickelt und nutzen nun auch Microsoft Teams, um ihre Opfer zu kontaktieren. Wie beim bisherigen Angriffsschema wird dabei zunächst der Posteingang der Zielperson mit Spam geflutet. Doch statt eines Anrufs erhält sie nun ein vermeintliches Hilfsangebot von einem externen User über Microsoft Teams, der sich als IT-Helpdesk des attackierten Unternehmens ausgibt.

Laut ReliaQuest enthält der Username des Accounts der Angreifer meist die Worte „Help Desk“, um die Opfer in Sicherheit zu wiegen. Außerdem versenden die Angreifer offenbar QR-Codes, obwohl noch nicht klar ist, wofür diese genutzt werden. Ziel des Angriffs ist wie bereits in der Vergangenheit, die CobaltStrike-Malware zu installieren und sich so Zugang zum Netzwerk des Opfers zu verschaffen.

Um sich vor derartigen Angriffen zu schützen, ist es ratsam, die Kommunikation mit externen Nutzern über Teams einzuschränken.

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 (6321) 484460
E-Mail: redaktion@8com.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel