Black Basta-Gruppe nutzt Microsoft Teams-Chatfunktion
Die als "Black Basta" bekannte Ransomware-Gruppe hat einen neuen Mechanismus entwickelt, der die Chatfunktion von Microsoft Teams zur Kontaktaufnahme ausnutzt.
Die Ransomware-Gruppe Black Basta operiert weltweit und ist dafür bekannt, Benutzer mit E-Mail-Spam zu überhäufen und sich dabei als Helpdesk-Mitarbeiter auszugeben, um Daten abzugreifen und Zugänge auszuspähen. Diese Methode wurde nun offenbar dahingehend verändert, dass Microsoft Teams-Chatnachrichten dazu verwendet werden, Kontakt mit Mitarbeitern in Unternehmen aufzunehmen.
Wie das Cybersicherheitsunternehmen ReliaQuest meldete, arbeitet Black Basta bei der neuen Methode mit Microsoft Teams-Chatnachrichten, um Mitarbeiter und Mitarbeiterinnen von Unternehmen in Gespräche zu verwickeln. Dabei geben sich die Kriminellen als Support-, Administrator- oder Helpdesk-Mitarbeiter aus, um sich das Vertrauen der Opfer zu erschleichen.
Gruppeneinladungen als vertrauensbildende Maßnahme
Teilweise sollen Mitarbeiter von Unternehmen durch die Black Basta-Gruppe zu MS Teams-Chatgruppen eingeladen worden sein. Einmal in der Gruppe im Gespräch war es offenbar leicht, Kontakte zu knüpfen. Über QR-Codes wird dann versucht, die Mitarbeiter auf externe Seiten zu locken. Diese sind dabei auf die betreffende Zielorganisation zugeschnitten und häufig nur die genaue Prüfung der Subdomain von echten Unternehmensseiten zu unterscheiden.
Um sich vor der neuen Phishing-Methode zu schützen, empfiehlt ReliaQuest mehrere Maßnahmen. Dazu gehören das Blockieren von verdächtigen Domains und Subdomains, die Sperrung der Kommunikation von externen Benutzern innerhalb von Microsoft Teams sowie die saubere Definition von vertrauenswürdigen Domänen. ReliaQuest empfiehlt auch, die Protokollfunktion in MS Teams zu aktivieren, um das frühzeitige Erkennen und die Untersuchung von Vorfällen zu erleichtern.
Wie heise online berichtete, haben schon die bisherigen Methoden international über 500 Organisationen, darunter mehrere Krankenhäuser, geschädigt. In Deutschland zählte beispielsweise der Rüstungskonzern Rheinmetall zu den Opfern. Laut FBI zahlten die Opfer zur Freischaltung verschlüsselter Daten insgesamt über 100 Millionen US-Dollar an die kriminelle Gruppe.
(usz)