Luca Galuppi : 27 Ottobre 2024 10:12
Negli ultimi tempi, il gruppo ransomware Black Basta ha affinato la propria strategia di attacco, portando l’ingegneria sociale su Microsoft Teams per impersonare il supporto IT aziendale e ottenere l’accesso ai dispositivi aziendali. Già noto per aver colpito numerose aziende dal 2022, Black Basta inizia i suoi attacchi con una tecnica subdola: inonda la casella di posta della vittima con migliaia di e-mail apparentemente innocue, come newsletter, conferme di registrazione o notifiche di autenticazione. Questo bombardamento crea caos nella posta della vittima, portando a confusione e frustrazione.
In passato, questa tattica culminava con una telefonata da parte di un falso operatore del supporto IT, che offriva assistenza per risolvere l’inondazione di spam e, approfittando della situazione, induceva la vittima a installare software di controllo remoto, come AnyDesk o Quick Assist, dando ai cybercriminali il pieno accesso al dispositivo e alla rete aziendale. Oggi, tuttavia, Black Basta ha alzato il livello: la nuova fase dell’attacco avviene direttamente su Microsoft Teams, con il gruppo che sfrutta la piattaforma per instaurare un contatto ancora più convincente e personalizzato.
In questa nuova variante dell’attacco, gli hacker si presentano come utenti esterni su Teams, impostando nomi come “securityadminhelper.onmicrosoft.com” o “cybersecurityadmin.onmicrosoft.com” e settando il nome visualizzato come “Help Desk”, spesso centrato per attirare l’attenzione dell’utente. La vittima, già sopraffatta dal flusso di e-mail, riceve ora un messaggio da un “tecnico” del supporto IT, che apparentemente proviene dall’interno dell’organizzazione. In alcuni casi, i cybercriminali inviano anche codici QR, che potrebbero reindirizzare a siti di controllo gestiti dagli attaccanti.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una volta instaurata la fiducia, i criminali convincono la vittima a eseguire software di controllo remoto come AnyDesk o Quick Assist, o a scaricare payload camuffati da strumenti anti-spam con nomi come “AntispamAccount.exe” o “AntispamConnectUS.exe.” Questi file, però, contengono malware sofisticati per garantire un accesso persistente al dispositivo compromesso. Successivamente, gli attaccanti installano strumenti come Cobalt Strike, sfruttato per muoversi lateralmente nella rete aziendale, elevare i privilegi, rubare dati sensibili e distribuire il ransomware, che blocca l’intera infrastruttura e richiede il pagamento di un riscatto per decriptare i dati.
Per difendersi da attacchi così sofisticati, le organizzazioni devono adottare misure preventive rigorose. Gli esperti consigliano di limitare le comunicazioni con utenti esterni su Microsoft Teams, abilitando le interazioni solo con domini strettamente fidati. È inoltre essenziale attivare la registrazione degli eventi per rilevare tempestivamente eventuali conversazioni sospette e intercettare attività anomale che potrebbero segnalare l’ingresso di un utente malevolo.
Formare i dipendenti a riconoscere le tattiche di social engineering si rivela fondamentale. Attacchi come quello di Black Basta sfruttano l’elemento umano, cercando di ingannare l’utente proprio quando è più vulnerabile. Ecco perché investire in formazione, sensibilizzare i dipendenti sulle possibili minacce e incoraggiare la segnalazione di contatti sospetti può fare la differenza.
Questo attacco mette in luce l’astuzia e la rapidità con cui i cybercriminali aggiornano le loro tecniche, dimostrando che ogni piattaforma di comunicazione aziendale può diventare un vettore di attacco. La sicurezza aziendale oggi deve necessariamente evolversi alla stessa velocità, ricordando che proteggere le persone, oltre che i sistemi, è ormai un requisito essenziale per difendersi dalle minacce del futuro.
Luca GaluppiNel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
