Luca Galuppi : 27 Ottobre 2024 10:12
Negli ultimi tempi, il gruppo ransomware Black Basta ha affinato la propria strategia di attacco, portando l’ingegneria sociale su Microsoft Teams per impersonare il supporto IT aziendale e ottenere l’accesso ai dispositivi aziendali. Già noto per aver colpito numerose aziende dal 2022, Black Basta inizia i suoi attacchi con una tecnica subdola: inonda la casella di posta della vittima con migliaia di e-mail apparentemente innocue, come newsletter, conferme di registrazione o notifiche di autenticazione. Questo bombardamento crea caos nella posta della vittima, portando a confusione e frustrazione.
In passato, questa tattica culminava con una telefonata da parte di un falso operatore del supporto IT, che offriva assistenza per risolvere l’inondazione di spam e, approfittando della situazione, induceva la vittima a installare software di controllo remoto, come AnyDesk o Quick Assist, dando ai cybercriminali il pieno accesso al dispositivo e alla rete aziendale. Oggi, tuttavia, Black Basta ha alzato il livello: la nuova fase dell’attacco avviene direttamente su Microsoft Teams, con il gruppo che sfrutta la piattaforma per instaurare un contatto ancora più convincente e personalizzato.
In questa nuova variante dell’attacco, gli hacker si presentano come utenti esterni su Teams, impostando nomi come “securityadminhelper.onmicrosoft.com” o “cybersecurityadmin.onmicrosoft.com” e settando il nome visualizzato come “Help Desk”, spesso centrato per attirare l’attenzione dell’utente. La vittima, già sopraffatta dal flusso di e-mail, riceve ora un messaggio da un “tecnico” del supporto IT, che apparentemente proviene dall’interno dell’organizzazione. In alcuni casi, i cybercriminali inviano anche codici QR, che potrebbero reindirizzare a siti di controllo gestiti dagli attaccanti.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una volta instaurata la fiducia, i criminali convincono la vittima a eseguire software di controllo remoto come AnyDesk o Quick Assist, o a scaricare payload camuffati da strumenti anti-spam con nomi come “AntispamAccount.exe” o “AntispamConnectUS.exe.” Questi file, però, contengono malware sofisticati per garantire un accesso persistente al dispositivo compromesso. Successivamente, gli attaccanti installano strumenti come Cobalt Strike, sfruttato per muoversi lateralmente nella rete aziendale, elevare i privilegi, rubare dati sensibili e distribuire il ransomware, che blocca l’intera infrastruttura e richiede il pagamento di un riscatto per decriptare i dati.
Per difendersi da attacchi così sofisticati, le organizzazioni devono adottare misure preventive rigorose. Gli esperti consigliano di limitare le comunicazioni con utenti esterni su Microsoft Teams, abilitando le interazioni solo con domini strettamente fidati. È inoltre essenziale attivare la registrazione degli eventi per rilevare tempestivamente eventuali conversazioni sospette e intercettare attività anomale che potrebbero segnalare l’ingresso di un utente malevolo.
Formare i dipendenti a riconoscere le tattiche di social engineering si rivela fondamentale. Attacchi come quello di Black Basta sfruttano l’elemento umano, cercando di ingannare l’utente proprio quando è più vulnerabile. Ecco perché investire in formazione, sensibilizzare i dipendenti sulle possibili minacce e incoraggiare la segnalazione di contatti sospetti può fare la differenza.
Questo attacco mette in luce l’astuzia e la rapidità con cui i cybercriminali aggiornano le loro tecniche, dimostrando che ogni piattaforma di comunicazione aziendale può diventare un vettore di attacco. La sicurezza aziendale oggi deve necessariamente evolversi alla stessa velocità, ricordando che proteggere le persone, oltre che i sistemi, è ormai un requisito essenziale per difendersi dalle minacce del futuro.
Luca GaluppiSarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
