Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Black Basta stosuje Microsoft Teams do ataków

07 listopad 2024

Black Basta stosuje Microsoft Teams do ataków
Gościńska Joanna

Gościńska Joanna

Ataki ransomware Black Basta zyskały nowy wymiar, wykorzystując Microsoft Teams do socjotechnicznych oszustw. Podszywając się pod pomoc techniczną, przestępcy zdobywają zaufanie pracowników, by uzyskać zdalny dostęp do urządzeń, co ułatwia rozprzestrzenianie złośliwego oprogramowania.

Dobroczynnie NTHW

Od Conti do Black Basta

Grupa Black Basta działa na rynku ransomware od kwietnia 2022 roku, odpowiadając za liczne ataki na korporacje. Po rozpadzie syndykatu cyberprzestępczego Conti w czerwcu 2022 r., część jego członków przeszła do nowych grup, w tym do Black Basta. Ataki tej grupy charakteryzują się użyciem różnych technik, takich jak luki w zabezpieczeniach, współpraca z botnetami oraz socjotechnika.

W maju eksperci z Rapid7 i ReliaQuest ostrzegli przed nową kampanią socjotechniczną tej grupy, która zalewała skrzynki odbiorcze pracowników niegroźnymi, lecz uciążliwymi wiadomościami. W tej fazie ataku oszuści, podszywając się pod dział pomocy, oferowali „rozwiązanie” problemu spamowego, nakłaniając do instalacji oprogramowania umożliwiającego im przejęcie kontroli nad urządzeniami.

Nowe narzędzie – Microsoft Teams

W październiku 2024 roku badacze ReliaQuest zidentyfikowali kolejną innowację Black Basta – przejście na Microsoft Teams jako platformę komunikacji z ofiarami. Przestępcy tworzą konta przypominające nazwy korporacyjnych działów pomocy technicznej, np. „securityadminhelper.onmicrosoft.com,” co sprawia, że pracownicy wierzą, iż rozmawiają z autentycznym wsparciem. W profilach tych kont widnieją sugestywne „DisplayName,” często zawierające zwrot „Help Desk,” co dodatkowo zwiększa wiarygodność. Oszuści zapraszają pracowników do czatów „OneOnOne” i przesyłają kody QR, prowadzące do podejrzanych domen, choć ich pełne działanie

wciąż pozostaje zagadką. Ostatecznie atakujący nakłaniają ofiary do instalacji AnyDesk lub Quick Assist, co umożliwia im pełny zdalny dostęp do urządzeń. Po nawiązaniu połączenia wdrażają oprogramowanie takie jak „AntispamAccount.exe” i „AntispamConnectUS.exe,” kończąc proces instalacją Cobalt Strike, które pozwala na dalsze działania w sieci.

Eksperci ReliaQuest zalecają organizacjom ograniczenie możliwości kontaktu z zewnętrznymi użytkownikami w Microsoft Teams. Jeśli taka komunikacja jest konieczna, powinna być dostępna wyłącznie z zaufanych domen, a funkcja rejestrowania zdarzeń, w szczególności ChatCreated, powinna być włączona.

Ustawa Kamilka

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności