Torna alla ribalta l’attacco ransomware BlackBasta, comparso per la prima volta nell’aprile 2022 quando ha colpito centinaia di società in tutto il mondo. Da quel momento, la campagna ha subito diversi cambiamenti, ma ha sempre continuato a sfruttare le vulnerabilità dei software, la diffusione di malware e le strategie di social engineering – che i criminali usano per manipolare le persone costringendole a condividere informazioni personali con loro – per cozzare le sue vittime.
Non a caso, lo scorso maggio portali di settore come Rapid7 e Relia Quest hanno rilasciato una serie di avvisi su una nuova campagna di social engineering che i cybercriminali sfruttano per inondare di messaggi la casella di posta dei dipendenti delle aziende, per poi chiamarli fingendosi l’assistenza IT del servizio e proponendo loro una soluzione utile allo spam massiccio. Una volta in contatto con i dipendenti colpiti dall’attacco, i criminali li convincono a scaricare il tool di supporto da remoto AnyDesk o a fornirgli l’accesso al loro dispositivo tramite lo strumento di condivisione dello schermo Quick Assist. A questo punto, installano una serie di payload che consentono di accedere da remoto al dispositivo colpito, e anche agli altri collegati alla rete aziendale.
La finta assistenza su Microsoft Teams
Di recente, però, sembra che la campagna ransomware Black Basta stia sfruttando Microsoft Teams per mettere a segno i suoi attacchi. Dopo aver inondato la casella dei posti dei dipendenti con centinaia di messaggi, usano l’app di messaggistica per fingersi l’help desk IT aziendale pronto a risolvere i loro problemi di spam. “Questi utenti esterni impostano i loro profili su un ’DisplayName’ progettato per far credere all’fruitore mirato di comunicare con un account di assistenza”, si legge in un nuovo rapporto di Relia Quest, in cui i ricercatori chiariscono che i criminali utilizzano le chat di Teams per inviare QR Code che portano a domini malevoli.
La strategia seguita, poi, è sempre la stessa: convincere gli utenti a installare Any Desk o a condividere l’accesso da remoto al dispositivo, così da poterlo controllare e attaccare confortevolmente i dispositivi della rete aziendale. Il consiglio di Relia Quest, quindi, è quello di invitare i dipendenti a non condividere informazioni sensibili con account Teams che si fingono assistenti IT, ma senza un profilo verificato. Nel complesso, il campanello d’allarme è dato dalle e-mail spam. Se ne ricevete troppe, diffidate da chiunque vi contatti per limitarle.
Leggi tutto su www.wired.it
di Chiara Crescenzi www.wired.it 2024-10-28 10:35:00 ,