Хакерське угрупування Black Basta вдосконалили один зі своїх методів проникнення в компанії — вони видають себе за ІТ-підтримку Microsoft Teams, щоб викрасти логіни та паролі своїх жертв. Про це пише TechRadar.
Отже, що вони придумали.
- Спочатку жертва різко починає отримувати сотні повідомлень на електронну пошту, аж поки нею не стає важко користуватися.
- Потім їй телефонують зловмисники і видають себе за службу підтримки компанії.
- Далі злочинці запевняють жертву дати їм доступ до пристрою через AnyDesk або Windows Quick Assist, встановлюють шкідливі файли та запускають атаку програм-вимагачів.
З початку жовтня схема трохи змінилася. Злочинці почали контактувати зі співробітниками компаній через Microsoft Teams, використовуючи зовнішній обліковий запис, що імітує внутрішню службу технічної підтримки компанії.
Для цього вони використовують облікові записи в Entra ID, що зовні виглядають легітимно й схожі на справжні. Однак при детальнішій перевірці видно, що вони фальшиві.
Значна частина фальшивих акаунтів Teams походить із росії, до того ж багато з них мають дані часового поясу, прив'язані до Москви.
Дослідники рекомендують системним адміністраторам і фахівцям з безпеки встановлювати чати Microsoft Teams із зовнішніх облікових записів лише на довірених доменах, а також увімкнути логування чатів.
Black Basta звинувачують у більш ніж 500 атаках з використанням програм-вимагачів по всьому світу. Угруповання виникло на початку 2022 року і, ймовірно, складається з фрагментів групи Conti, яка розпалася того ж року.
