Le ransomware Black Basta infiltre les réseaux en usurpant le service informatique sur Microsoft Teams !
Les pirates du gang de ransomware Black Basta utilisent Microsoft Teams pour contacter les salariés des entreprises en se faisant passer pour le support informatique. Faisons le point sur ces attaques basées sur de l'ingénierie sociale.
Actif depuis avril 2022, le gang de ransomware Black Basta a déjà fait plusieurs centaines de victimes à l'échelle mondiale. Les cybercriminels s'appuient sur plusieurs techniques dans leurs campagnes d'attaques, dont l'ingénierie sociale.
D'ailleurs, en mai dernier, Rapid7 et ReliaQuest ont mis en ligne un rapport pour évoquer une nouvelle campagne basée ayant pour objectif d'inonder d'e-mails la boite aux lettres d'un utilisateur. Puis, une fois l'envoi d'e-mail massif effectué, les pirates contactent la victime via un appel vocal afin de lui apporter de l'assistance, en se faisant passer par le service informatique.
Leur objectif est de demander à l'utilisateur d'installer AnyDesk ou d'utiliser l'Assistance rapide de Windows afin de prendre la main sur l'ordinateur de l'utilisateur. Ceci leur permet d'exécuter d'autres actions et scripts pour bénéficier d'un accès persistant sur l'ordinateur de la victime.
Dans un nouveau rapport publié par les chercheurs de chez ReliaQuest, nous apprenons que le gang de ransomware Black Basta passe désormais par Microsoft Teams pour tenter de piéger les utilisateurs...
L'appel vocal remplacé par Microsoft Teams
La première étape reste la même : inonder la boite aux lettres de la victime avec de nombreux e-mails. Ensuite, au lieu de lancer un appel vocal, les pirates prennent contact avec leur cible par l'intermédiaire de Microsoft Teams, en tant qu'utilisateur externe à l'organisation. Sur le même principe, le pirate usurpe l'identité du service informatique de l'entreprise dans le but d'apporter son aide et de résoudre le problème de spams.
Là encore, AnyDesk et l'outil d'Assistance rapide de Windows sont utilisés pour se connecter à l'ordinateur. Une fois connectés, les cybercriminels ont installé des charges utiles telles que "AntispamAccount.exe", "AntispamUpdate.exe" et "AntispamConnectUS.exe". De plus, Cobalt Strike est installé sur la machine afin d'offrir un accès complet et persistant aux pirates.
Voici quelques exemples d'objets utilisés pour les e-mails :
- Votre compte a été créé
- Bienvenue chez XYZ
- Merci de vous être inscrit
- Veuillez vérifier votre adresse électronique
- Offre spéciale pour vous
De plus, toujours d'après le rapport de ReliaQuest, les pirates utilisent les noms de tenants suivants :
- securityadminhelper.onmicrosoft[.]com
- supportserviceadmin.onmicrosoft[.]com
- supportadministrator.onmicrosoft[.]com
- cybersecurityadmin.onmicrosoft[.]com
À la lecture de ces noms de tenant, on comprend qu'il y a la volonté d'apparaître comme le service Help Desk de l'entreprise. "Ces utilisateurs externes définissent leur profil avec un "DisplayName" (Nom d'affichage) conçu pour faire croire à l'utilisateur ciblé qu'il communique avec un compte du service support.", peut-on lire dans le rapport.
Ces attaques basées sur de l'ingénierie sociale mettent en lumière les risques associés aux demandes de conversation provenant des utilisateurs externes. Pour rappel, cela peut être désactivé dans les paramètres Teams de votre tenant Microsoft 365.
