דיגיטל וטק

מתחזים לעובדי מיקרוסופט: מתקפת הכופר המסוכנת

קבוצת הסייבר Black Basta משתמשת ב-Microsoft Teams כדי להונות עובדים ולהשיג שליטה על מכשיריהם. מהן השיטות החדשות שהופכות את המתקפה למתוחכמת כל כך, ואיך אפשר להתגונן?
רפאל בן זקרי | 
אילוסטרציה (צילום shutterstock)
קבוצת הסייבר Black Basta, הידועה כקבוצת פשע דיגיטלי מתקדמת, פיתחה טכניקה חדשה למתקפות כופר, תוך שימוש במערכת Microsoft Teams ככלי להונאה והשגת גישה לארגונים. הקבוצה מתחזה לצוות התמיכה הטכנית של הארגון ונעזרת במניפולציות של הנדסה חברתית כדי להטעות עובדים ולהשיג שליטה על מכשיריהם.
במסגרת התהליך, הקבוצה מציפה את תיבת הדואר של הקורבן בדואר זבל באופן שמקשה על שימוש בה. לאחר מכן, האקרים מתקשרים לעובד ומתחזים לצוות התמיכה של הארגון כדי להציע עזרה ב"טיפול" במצב. הם משתמשים בתוכנות כגון AnyDesk או Windows Quick Assist כדי להשיג שליטה מרחוק על מכשירו של הקורבן, ולאחר מכן מתקינים כלים נוספים כמו ScreenConnect, NetSupport Manager ו-Cobalt Strike לצורך ביצוע מתקפות כופר.
במסגרת הטכניקה בגרסתה הנוכחית, הקבוצה יוצרת קשר עם העובד דרך Microsoft Teams באמצעות חשבונות חיצוניים, שנוצרו במיוחד על מנת להידמות לצוותי התמיכה של הארגון, עם שמות מטעים דוגמת “securityadminhelper.onmicrosoft[.]com” או “Supportserviceadmin.onmicrosoft[.]com”. השם "Help Desk" מוצג במרכז חלון הצ'אט על ידי הוספת רווחים, והתקיפות ממשיכות עם התקנת קבצים בשם "AntispamAccount.exe" ו-"AntispamUpdate.exe" שנועדו להטעות את הקורבן.
קבוצת Black Basta, שהחלה לפעול בתחילת 2022 לאחר קריסת קבוצת הכופר Conti, אחראית ללמעלה מ-500 מתקפות כאלו בעולם, וממשיכה לפתח שיטות מתוחכמות למתקפות ממוקדות ומסוכנות. חברת ReliaQuest, שזיהתה את המגמה החדשה, דיווחה כי מרבית חשבונות Teams המזויפים מקורם ברוסיה, עם התאמה לאזור הזמן של מוסקבה. ReliaQuest ממליצה למנהלי מערכות להגביל צ'אטים חיצוניים ב-Teams כך שיתאפשרו רק חשבונות מדומיינים אמינים, ולהפעיל רישום מלא של פעילויות צ'אט לאבטחה מוגברת.
תגובות לכתבה(0):

נותרו 55 תווים

נותרו 1000 תווים

הוסף תגובה

תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה