Negli ultimi tempi, il gruppo ransomware Black Basta ha affinato la propria strategia di attacco, portando l’ingegneria sociale su Microsoft Teams per impersonare il supporto IT aziendale e ottenere l’accesso ai dispositivi aziendali. Già noto per aver colpito numerose aziende dal 2022, Black Basta inizia i suoi attacchi con una tecnica subdola: inonda la casella di posta della vittima con migliaia di e-mail apparentemente innocue, come newsletter, conferme di registrazione o notifiche di autenticazione. Questo bombardamento crea caos nella posta della vittima, portando a confusione e frustrazione.
In passato, questa tattica culminava con una telefonata da parte di un falso operatore del supporto IT, che offriva assistenza per risolvere l’inondazione di spam e, approfittando della situazione, induceva la vittima a installare software di controllo remoto, come AnyDesk o Quick Assist, dando ai cybercriminali il pieno accesso al dispositivo e alla rete aziendale. Oggi, tuttavia, Black Basta ha alzato il livello: la nuova fase dell’attacco avviene direttamente su Microsoft Teams, con il gruppo che sfrutta la piattaforma per instaurare un contatto ancora più convincente e personalizzato.
In questa nuova variante dell’attacco, gli hacker si presentano come utenti esterni su Teams, impostando nomi come “securityadminhelper.onmicrosoft.com” o “cybersecurityadmin.onmicrosoft.com” e settando il nome visualizzato come “Help Desk”, spesso centrato per attirare l’attenzione dell’utente. La vittima, già sopraffatta dal flusso di e-mail, riceve ora un messaggio da un “tecnico” del supporto IT, che apparentemente proviene dall’interno dell’organizzazione. In alcuni casi, i cybercriminali inviano anche codici QR, che potrebbero reindirizzare a siti di controllo gestiti dagli attaccanti.
Una volta instaurata la fiducia, i criminali convincono la vittima a eseguire software di controllo remoto come AnyDesk o Quick Assist, o a scaricare payload camuffati da strumenti anti-spam con nomi come “AntispamAccount.exe” o “AntispamConnectUS.exe.” Questi file, però, contengono malware sofisticati per garantire un accesso persistente al dispositivo compromesso. Successivamente, gli attaccanti installano strumenti come Cobalt Strike, sfruttato per muoversi lateralmente nella rete aziendale, elevare i privilegi, rubare dati sensibili e distribuire il ransomware, che blocca l’intera infrastruttura e richiede il pagamento di un riscatto per decriptare i dati.
Per difendersi da attacchi così sofisticati, le organizzazioni devono adottare misure preventive rigorose. Gli esperti consigliano di limitare le comunicazioni con utenti esterni su Microsoft Teams, abilitando le interazioni solo con domini strettamente fidati. È inoltre essenziale attivare la registrazione degli eventi per rilevare tempestivamente eventuali conversazioni sospette e intercettare attività anomale che potrebbero segnalare l’ingresso di un utente malevolo.
Formare i dipendenti a riconoscere le tattiche di social engineering si rivela fondamentale. Attacchi come quello di Black Basta sfruttano l’elemento umano, cercando di ingannare l’utente proprio quando è più vulnerabile. Ecco perché investire in formazione, sensibilizzare i dipendenti sulle possibili minacce e incoraggiare la segnalazione di contatti sospetti può fare la differenza.
Questo attacco mette in luce l’astuzia e la rapidità con cui i cybercriminali aggiornano le loro tecniche, dimostrando che ogni piattaforma di comunicazione aziendale può diventare un vettore di attacco. La sicurezza aziendale oggi deve necessariamente evolversi alla stessa velocità, ricordando che proteggere le persone, oltre che i sistemi, è ormai un requisito essenziale per difendersi dalle minacce del futuro.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Cybercrime
Cybercrime
Diritti