Black Basta: Ransomware-Gruppe attackiert über Microsoft Teams und Social Engineering
Die Ransomware-Gruppe Black Basta hat ihre Angriffsmethoden weiterentwickelt und nutzt nun verstärkt Microsoft Teams, um Netzwerke zu kompromittieren. Mit geschickt eingesetzten Social-Engineering-Techniken und täuschend echt wirkenden IT-Support-Maschen zielen die Angriffe darauf ab, Unternehmenssysteme zu infiltrieren und langfristig Zugriff auf sensible Daten zu erlangen.
Wie Black Basta vorgeht: Von Spam-E-Mails bis Microsoft Teams
Bereits seit April 2022 hat sich Black Basta als ernsthafte Bedrohung etabliert. Zu den bevorzugten Techniken gehört die Überlastung der Opfer mit Spam-E-Mails, die auf den ersten Blick harmlos wirken. Die E-Mails enthalten meist Anmeldungen zu Newslettern oder Bestätigungen von Diensten, wodurch das Postfach der Zielperson überfüllt wird.
Während das Opfer versucht, den Überblick über die Flut an Nachrichten zu behalten, schlagen die Angreifer zu: Sie kontaktieren die überlastete Person, geben sich als IT-Support aus und bieten vermeintliche Hilfe an. Dabei gelingt es ihnen oft, das Vertrauen des Opfers zu gewinnen und es zur Installation von Remote-Zugriffssoftware wie AnyDesk oder Microsoft Quick Assist zu überreden. Über diese Software erhalten die Angreifer Zugriff auf das System und installieren schädliche Software wie Cobalt Strike, die ihnen ermöglicht, sich unbemerkt im Unternehmensnetzwerk weiter auszubreiten.
Der Wechsel zu Microsoft Teams: Neue Angriffstaktik
Seit Oktober 2024 hat Black Basta eine neue Dimension ihrer Angriffe erreicht: Die Gruppe nutzt jetzt auch Microsoft Teams, um Zielpersonen direkt zu kontaktieren. Mit sorgfältig erstellten Profilen, die als IT-Support oder Helpdesk getarnt sind, eröffnen die Angreifer Chats mit Mitarbeitern und geben vor, technische Unterstützung anzubieten. Diese Täuschung wird durch den Einsatz von Microsoft Entra ID-Tenants verstärkt, die vertrauenswürdige IT-Konten imitieren, wie etwa supportserviceadmin.onmicrosoft[.]com oder securityadminhelper.onmicrosoft[.]com.
Die Kommunikation erfolgt in Einzelchats, in denen die Angreifer gefälschte IT-Anfragen stellen und teilweise sogar QR-Codes versenden, die zu schädlichen Domains führen. Ziel ist es, die Opfer zur Nutzung von Remote-Tools wie Quick Assist zu bewegen, um Zugriff auf deren Geräte zu erhalten. Die Angreifer agieren dabei äußerst geschickt und nutzen überzeugend gestaltete Nachrichten sowie technische Fachbegriffe, um den Eindruck eines legitimen Supports zu erwecken.
ReliaQuest Threat Research Team
Schutz vor Black Basta und ähnlichen Bedrohungen
Die Angriffe von Black Basta zeigen deutlich, wie wichtig es ist, robuste Sicherheitsmaßnahmen umzusetzen und gezielte Schutzmechanismen einzusetzen. Besonders die Nutzung von legitimen Tools wie Quick Assist oder AnyDesk macht es schwierig, solche Angriffe allein durch technische Sicherheitslösungen zu verhindern. Eine starke Sensibilisierung der Mitarbeitenden und die Etablierung klarer Kommunikationsrichtlinien sind daher essenziell, um potenzielle Bedrohungen frühzeitig zu erkennen.
Darüber hinaus sollten Unternehmen den Zugriff auf Remote-Tools streng reglementieren und Logging-Funktionen aktivieren, um verdächtige Aktivitäten zu überwachen. Auch die Konfiguration von Sicherheitsrichtlinien in Microsoft Teams kann helfen, Angriffe zu erschweren, indem die Kommunikation mit externen Nutzern auf vertrauenswürdige Quellen beschränkt wird.
Schützen Sie Ihr Unternehmen mit optimalen Microsoft 365 Security-Baselines
Unsere Security Services für Microsoft 365 bieten Ihnen den besten Schutz vor Angriffen wie denen von Black Basta. Durch maßgeschneiderte Sicherheitskonfigurationen und die Implementierung von Baselines sorgen wir dafür, dass potenzielle Angreifer keinen Zugriff auf Ihre Systeme erhalten. Vertrauen Sie auf unser Know-how, um Ihre Microsoft-Umgebung optimal abzusichern und den Schutz Ihres Unternehmens zu maximieren. Jetzt Kontakt aufnehmen und Sicherheitslücken schließen!
