Black Basta: Ransomware-Gruppe attackiert über Microsoft Teams und Social Engineering

Black Basta: Ransomware-Gruppe attackiert über Microsoft Teams und Social Engineering
Photo by Towfiqu barbhuiya / Unsplash

Die Ransomware-Gruppe Black Basta hat ihre Angriffsmethoden weiterentwickelt und nutzt nun verstärkt Microsoft Teams, um Netzwerke zu kompromittieren. Mit geschickt eingesetzten Social-Engineering-Techniken und täuschend echt wirkenden IT-Support-Maschen zielen die Angriffe darauf ab, Unternehmenssysteme zu infiltrieren und langfristig Zugriff auf sensible Daten zu erlangen.

Wie Black Basta vorgeht: Von Spam-E-Mails bis Microsoft Teams

Bereits seit April 2022 hat sich Black Basta als ernsthafte Bedrohung etabliert. Zu den bevorzugten Techniken gehört die Überlastung der Opfer mit Spam-E-Mails, die auf den ersten Blick harmlos wirken. Die E-Mails enthalten meist Anmeldungen zu Newslettern oder Bestätigungen von Diensten, wodurch das Postfach der Zielperson überfüllt wird.

Während das Opfer versucht, den Überblick über die Flut an Nachrichten zu behalten, schlagen die Angreifer zu: Sie kontaktieren die überlastete Person, geben sich als IT-Support aus und bieten vermeintliche Hilfe an. Dabei gelingt es ihnen oft, das Vertrauen des Opfers zu gewinnen und es zur Installation von Remote-Zugriffssoftware wie AnyDesk oder Microsoft Quick Assist zu überreden. Über diese Software erhalten die Angreifer Zugriff auf das System und installieren schädliche Software wie Cobalt Strike, die ihnen ermöglicht, sich unbemerkt im Unternehmensnetzwerk weiter auszubreiten.

Der Wechsel zu Microsoft Teams: Neue Angriffstaktik

Seit Oktober 2024 hat Black Basta eine neue Dimension ihrer Angriffe erreicht: Die Gruppe nutzt jetzt auch Microsoft Teams, um Zielpersonen direkt zu kontaktieren. Mit sorgfältig erstellten Profilen, die als IT-Support oder Helpdesk getarnt sind, eröffnen die Angreifer Chats mit Mitarbeitern und geben vor, technische Unterstützung anzubieten. Diese Täuschung wird durch den Einsatz von Microsoft Entra ID-Tenants verstärkt, die vertrauenswürdige IT-Konten imitieren, wie etwa supportserviceadmin.onmicrosoft[.]com oder securityadminhelper.onmicrosoft[.]com.

Die Kommunikation erfolgt in Einzelchats, in denen die Angreifer gefälschte IT-Anfragen stellen und teilweise sogar QR-Codes versenden, die zu schädlichen Domains führen. Ziel ist es, die Opfer zur Nutzung von Remote-Tools wie Quick Assist zu bewegen, um Zugriff auf deren Geräte zu erhalten. Die Angreifer agieren dabei äußerst geschickt und nutzen überzeugend gestaltete Nachrichten sowie technische Fachbegriffe, um den Eindruck eines legitimen Supports zu erwecken.

ReliaQuest Uncovers New Black Basta Social Engineering Technique - ReliaQuest
ReliaQuest has observed a new Black Basta social engineering campaign targeting users via Microsoft Teams and malicious QR codes.

Schutz vor Black Basta und ähnlichen Bedrohungen

Die Angriffe von Black Basta zeigen deutlich, wie wichtig es ist, robuste Sicherheitsmaßnahmen umzusetzen und gezielte Schutzmechanismen einzusetzen. Besonders die Nutzung von legitimen Tools wie Quick Assist oder AnyDesk macht es schwierig, solche Angriffe allein durch technische Sicherheitslösungen zu verhindern. Eine starke Sensibilisierung der Mitarbeitenden und die Etablierung klarer Kommunikationsrichtlinien sind daher essenziell, um potenzielle Bedrohungen frühzeitig zu erkennen.

Darüber hinaus sollten Unternehmen den Zugriff auf Remote-Tools streng reglementieren und Logging-Funktionen aktivieren, um verdächtige Aktivitäten zu überwachen. Auch die Konfiguration von Sicherheitsrichtlinien in Microsoft Teams kann helfen, Angriffe zu erschweren, indem die Kommunikation mit externen Nutzern auf vertrauenswürdige Quellen beschränkt wird.

Schützen Sie Ihr Unternehmen mit optimalen Microsoft 365 Security-Baselines

Unsere Security Services für Microsoft 365 bieten Ihnen den besten Schutz vor Angriffen wie denen von Black Basta. Durch maßgeschneiderte Sicherheitskonfigurationen und die Implementierung von Baselines sorgen wir dafür, dass potenzielle Angreifer keinen Zugriff auf Ihre Systeme erhalten. Vertrauen Sie auf unser Know-how, um Ihre Microsoft-Umgebung optimal abzusichern und den Schutz Ihres Unternehmens zu maximieren. Jetzt Kontakt aufnehmen und Sicherheitslücken schließen!

Kontakt
Kontaktieren Sie uns noch heute und lassen Sie sich von unseren Experten beraten! Egal, ob es um innovative Lösungen, maßgeschneiderte Dienstleistungen oder spezifische Produktanfragen geht – wir sind hier, um Ihnen zu helfen. Entdecken Sie, wie unsere maßgeschneiderten Lösungen Ihr Geschäft voranbringen können. Wir freuen uns auf Ihre Anfrage!

Weiterlesen

Microsoft Azure Austria East: Die neue Cloud-Region startet bald – wir sind Launch-Partner!

Microsoft Azure Austria East: Die neue Cloud-Region startet bald – wir sind Launch-Partner!

Die Cloud-Landschaft in Österreich erreicht einen neues Niveau: Die Microsoft Azure Region Austria East geht bald offiziell an den Start! Mit dieser Erweiterung setzt Microsoft ein starkes Zeichen für digitale Souveränität, verbesserte Performance und nachhaltige Public-Cloud Lösungen in Österreich. Als offizieller Microsoft Launch-Partner begleiten wir Unternehmen und IT-Partner von Anfang

Von Indeno GmbH
IDCloud: Die optimale Ergänzung zur Public Cloud für Unternehmen und IT-Partner

IDCloud: Die optimale Ergänzung zur Public Cloud für Unternehmen und IT-Partner

Wir freuen uns, mit IDCloud einen bedeutenden Schritt zu gehen und Unternehmen sowie IT-Partnern eine skalierbare, sichere und in der EU betriebene Lösung zu bieten. Unter der IDCloud bündeln wir alle Infrastrukturbetriebsleistungen, um den wachsenden Anforderungen moderner Hybrid- und Multi-Cloud-Strategien gerecht zu werden. IDCloud – Managed Cloud-Lösungen für IT-Partner, Reseller &

Von Indeno GmbH
Microsoft 365 E5 Security jetzt als Add-on für Business Premium verfügbar

Microsoft 365 E5 Security jetzt als Add-on für Business Premium verfügbar

Microsoft hat angekündigt, dass Microsoft 365 E5 Security nun als Add-on für Microsoft 365 Business Premium verfügbar ist. Diese Erweiterung bringt Enterprise-Sicherheitsfunktionen in den SMB-Bereich und hilft kleinen und mittelständischen Unternehmen (SMBs), sich besser gegen Cyberbedrohungen zu schützen. Warum ist das wichtig? Die Bedrohungslage für SMBs entwickelt sich rasant weiter,

Von Yannic Röcken