Black Basta, un gruppo ransomware noto per le sue tattiche di ingegneria sociale, ha recentemente modificato le sue strategie per violare le reti aziendali. Invece di concentrarsi solo sulle email di spam, Black Basta sta utilizzando Microsoft Teams per impersonare l’help desk aziendale e contattare i dipendenti. Questo nuovo approccio rappresenta una minaccia significativa per le organizzazioni, che devono essere preparate a fronteggiare queste nuove tattiche.
Tattiche di Ingegneria Sociale di Black Basta
1. Utilizzo di Microsoft Teams
Black Basta sta utilizzando Microsoft Teams per contattare i dipendenti aziendali. Gli attaccanti creano profili esterni su Microsoft Entra ID con nomi come “supportserviceadmin” o “cybersecurityadmin” per rendere credibile l’identità di help desk aziendale agli occhi delle vittime. Questi profili sono progettati per convincere gli utenti che il messaggio provenga da un supporto interno, con nomi visualizzati in modo da apparire centrati e professionali all’interno della chat.
2. Utilizzo di Messaggi di Chat e Codici QR
Gli attaccanti utilizzano messaggi di chat su Microsoft Teams per convincere i dipendenti a installare software di accesso remoto come AnyDesk. Alcuni messaggi includono anche codici QR che rimandano a domini specifici, ma il loro scopo esatto non è stato ancora completamente compreso. Tuttavia, questo elemento rappresenta un ulteriore stratagemma per ingannare i dipendenti e ottenere l’accesso remoto ai loro dispositivi aziendali.
3. Post-Exploitation Activities
Una volta che l’accesso è stato stabilito, gli hacker criminali possono installare payload dannosi come “AntispamAccount.exe”, “AntispamUpdate.exe” e “AntispamConnectUS.exe”. Questi file possono fungere da proxy per garantire la comunicazione tra i dispositivi infettati e i server di comando e controllo, come nel caso di SistemaBC, un malware utilizzato in passato da Black Basta. Alla fine, viene implementato anche Cobalt Strike, consentendo agli attaccanti un accesso completo al dispositivo compromesso e la possibilità di espandere la propria presenza in tutta la rete aziendale.
Suggerimenti e Consigli per la Protezione
Per limitare i rischi legati a queste nuove tattiche, ReliaQuest consiglia alle organizzazioni di restringere la comunicazione con utenti esterni su Microsoft Teams, abilitando tale funzione solo per i domini considerati affidabili. Inoltre, suggerisce di attivare la registrazione di eventi, in particolare per le chat create, in modo da individuare tempestivamente attività sospette. Questo approccio può aiutare le aziende a prevenire intrusioni simili e a rispondere rapidamente qualora si verificassero incidenti di questo tipo.
Implementazione di Strategie di Sicurezza
- Controllo delle Comunicazioni
- Abilitazione delle Funzioni di Controllo delle Comunicazioni: Assicurarsi che le comunicazioni con utenti esterni su Microsoft Teams siano abilitate solo per i domini considerati affidabili.
- Monitoraggio delle Chat: Attivare la registrazione di eventi, in particolare per le chat create, per individuare tempestivamente attività sospette.
- Formazione degli Utenti
- Sensibilizzazione degli Utenti: Educa gli utenti sui pericoli delle tattiche di ingegneria sociale e come riconoscere messaggi sospetti.
- Utilizzo di Strumenti di Sicurezza: Utilizzare strumenti di sicurezza come antivirus e firewall per proteggere i dispositivi dai malware.
- Implementazione di Politiche di Sicurezza
- Politiche di Accesso Remoto: Stabilire politiche chiare per l’accesso remoto, garantendo che solo gli utenti autorizzati possano accedere ai sistemi.
- Controllo dei Codici QR: Evitare l’uso di codici QR provenienti da fonti sconosciute e verificare sempre la provenienza dei codici prima di utilizzarli.
- Monitoraggio Continuo
- Monitoraggio delle Attività: Monitorare costantemente le attività sulle reti aziendali per individuare eventuali intrusioni.
- Risposta Rapida: Disporre di un piano di risposta rapida per affrontare eventuali incidenti di sicurezza.
Black Basta rappresenta una minaccia significativa per le reti aziendali grazie alle sue nuove tattiche di ingegneria sociale su Microsoft Teams. Tuttavia, implementando strategie di sicurezza efficaci, come il controllo delle comunicazioni, la formazione degli utenti, l’implementazione di politiche di sicurezza e il monitoraggio continuo, le organizzazioni possono ridurre il rischio di intrusioni e proteggere i loro sistemi da attacchi simili. È fondamentale rimanere aggiornati sulle nuove tattiche dei gruppi ransomware e adottare misure proattive per garantire la sicurezza delle reti aziendali.
