Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Luca Galuppi : 27 Ottobre 2024 10:12
Negli ultimi tempi, il gruppo ransomware Black Basta ha affinato la propria strategia di attacco, portando l’ingegneria sociale su Microsoft Teams per impersonare il supporto IT aziendale e ottenere l’accesso ai dispositivi aziendali. Già noto per aver colpito numerose aziende dal 2022, Black Basta inizia i suoi attacchi con una tecnica subdola: inonda la casella di posta della vittima con migliaia di e-mail apparentemente innocue, come newsletter, conferme di registrazione o notifiche di autenticazione. Questo bombardamento crea caos nella posta della vittima, portando a confusione e frustrazione.
In passato, questa tattica culminava con una telefonata da parte di un falso operatore del supporto IT, che offriva assistenza per risolvere l’inondazione di spam e, approfittando della situazione, induceva la vittima a installare software di controllo remoto, come AnyDesk o Quick Assist, dando ai cybercriminali il pieno accesso al dispositivo e alla rete aziendale. Oggi, tuttavia, Black Basta ha alzato il livello: la nuova fase dell’attacco avviene direttamente su Microsoft Teams, con il gruppo che sfrutta la piattaforma per instaurare un contatto ancora più convincente e personalizzato.
In questa nuova variante dell’attacco, gli hacker si presentano come utenti esterni su Teams, impostando nomi come “securityadminhelper.onmicrosoft.com” o “cybersecurityadmin.onmicrosoft.com” e settando il nome visualizzato come “Help Desk”, spesso centrato per attirare l’attenzione dell’utente. La vittima, già sopraffatta dal flusso di e-mail, riceve ora un messaggio da un “tecnico” del supporto IT, che apparentemente proviene dall’interno dell’organizzazione. In alcuni casi, i cybercriminali inviano anche codici QR, che potrebbero reindirizzare a siti di controllo gestiti dagli attaccanti.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una volta instaurata la fiducia, i criminali convincono la vittima a eseguire software di controllo remoto come AnyDesk o Quick Assist, o a scaricare payload camuffati da strumenti anti-spam con nomi come “AntispamAccount.exe” o “AntispamConnectUS.exe.” Questi file, però, contengono malware sofisticati per garantire un accesso persistente al dispositivo compromesso. Successivamente, gli attaccanti installano strumenti come Cobalt Strike, sfruttato per muoversi lateralmente nella rete aziendale, elevare i privilegi, rubare dati sensibili e distribuire il ransomware, che blocca l’intera infrastruttura e richiede il pagamento di un riscatto per decriptare i dati.
Per difendersi da attacchi così sofisticati, le organizzazioni devono adottare misure preventive rigorose. Gli esperti consigliano di limitare le comunicazioni con utenti esterni su Microsoft Teams, abilitando le interazioni solo con domini strettamente fidati. È inoltre essenziale attivare la registrazione degli eventi per rilevare tempestivamente eventuali conversazioni sospette e intercettare attività anomale che potrebbero segnalare l’ingresso di un utente malevolo.
Formare i dipendenti a riconoscere le tattiche di social engineering si rivela fondamentale. Attacchi come quello di Black Basta sfruttano l’elemento umano, cercando di ingannare l’utente proprio quando è più vulnerabile. Ecco perché investire in formazione, sensibilizzare i dipendenti sulle possibili minacce e incoraggiare la segnalazione di contatti sospetti può fare la differenza.
Questo attacco mette in luce l’astuzia e la rapidità con cui i cybercriminali aggiornano le loro tecniche, dimostrando che ogni piattaforma di comunicazione aziendale può diventare un vettore di attacco. La sicurezza aziendale oggi deve necessariamente evolversi alla stessa velocità, ricordando che proteggere le persone, oltre che i sistemi, è ormai un requisito essenziale per difendersi dalle minacce del futuro.
Luca GaluppiUn aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli agg...
A seguito della scoperta di exploit attivi, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito due vulnerabilità critiche al catalogo Known Exploited Vulnerabilities (KEV) dell’...
Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
Secondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo...
