E-Mail-Bombing und Voice Phishing
Microsoft Teams als Einfallstor
Sophos X-Ops hat eine aktive Bedrohungskampagne näher untersucht, bei der zwei verschiedene Gruppen von Bedrohungsakteuren Unternehmen infiltrieren. Dazu missbrauchen die Cyberkriminellen die Funktionalität der Office-365-Plattform.
Laut den Expertinnen und Experten von Sophos X-Ops nutzen die Cyberkriminellen dazu eine Kombination aus E-Mail-Bombing mit bis zu 3000 Nachrichten in weniger als einer Stunde und anschließenden Sprach- bzw. Videoanrufen via Teams, auch als Voice Pishing oder Vishing bekannt.
Nach dem Versand der ersten Spam-Nachrichten geben sich die Angreifer als technischer Support des betroffenen Unternehmens aus, rufen über Teams an und bieten ihre »Unterstützung« bei der Lösung des Problems an. Nimmt der Mitarbeitende den Anruf entgegen und erteilt den Kriminellen mittels »Quick Assist« oder der Bildschirmfreigabe von Microsoft Teams die Kontrolle über den Computer, starten die Anrufer das Ausrollen der Schadsoftware. Im Rahmen seiner Untersuchungen hat Sophos X-Ops Verbindungen der in dieser Kampagne aktiven Cyberkriminellen zu den russischen Bedrohungsgruppen »Fin7« und »Storm-1811« aufgedeckt.
Sean Gallagher, Principal Threat Researcher bei Sophos, schätzt die Situation ein und gibt Unternehmen einen Rat: »Obwohl die Ausnutzung von Fernverwaltungstools und der Missbrauch legitimer Dienste an sich nicht völlig neu sind, beobachten wir, dass immer mehr Bedrohungsgruppen diese Taktiken anwenden, um Unternehmen jeder Größe ins Visier zu nehmen. Dies ist eine aktive Bedrohungskampagne, die wir weiterhin intensiv verfolgen. Da die Standardkonfiguration von Microsoft Teams es jedem Besitzer eines Teams-Kontos ermöglicht, zu chatten oder Mitarbeiter eines Unternehmens anzurufen, sind viele Unternehmen potenziell anfällig für diese Bedrohung. Zudem nutzen viele Unternehmen externe Anbieter für ihren IT-Support, sodass ein Anruf von einer fremden Nummer mit der Bezeichnung ‚Helpdesk-Manager‘ nicht unbedingt Alarmglocken schrillen lässt. Da Sophos weiterhin neue MDR- und IR-Fälle im Zusammenhang mit diesen Taktiken sieht, raten wir Unternehmen, die Microsoft 365 verwenden, in höchster Alarmbereitschaft zu sein. Sie sollten Konfigurationen überprüfen sowie externe Kontonachrichten sowie Fernzugriffstools, die nicht regelmäßig verwendet werden, nach Möglichkeit blockieren.«
Eine detaillierte Analyse der Angriffe finden sich im englischsprachigen Blogartikel »Sophos MDR tracks two ransomware campaigns using email bombing and Microsoft Teams vishing«.
Das könnte Sie auch interessieren
Industrielle Cybersicherheit im deutschsprachigen Raum
Länder in Westeuropa zählen im internationalen Vergleich weiterhin zu den vergleichsweise sichereren Regionen im Bereich industrieller Cybersicherheit. Dennoch sind Computer zur industriellen Steuerung (ICS) auch im deutschsprachigen Raum nach wie...
mehr...Interview mit Thierry Bieber, HMS...
IT/OT-Resilienz im Maschinenbau
Vom sicheren Firmware-Update bis zur Netzsegmentierung: Thierry Bieber von HMS Industrial Networks erklärt im Gespräch, wie Maschinenbauer ihre IT/OT-Resilienz verbessern, welche Rolle Standards spielen und warum eine klare Architektur für...
mehr...Warum IT/OT-Grenzen neu gedacht werden müssen
Smart Factories verbinden Produktionsanlagen, Steuerungen und IT-Systeme über gemeinsame Netzwerke – eine Entwicklung, die die Effizienz zwar steigert, aber auch zusätzliche Angriffsflächen schafft. Um diese Risiken zu beherrschen, müssen...
mehr...Fünf unbequeme Wahrheiten über OT‑Security
Firewalls kaufen kann jeder. OT-Security machen die wenigsten wirklich. Timmi Hopf, Business Development Manager OT Cybersecurity bei Axians, benennt in seinem Kommentar fünf unbequeme Wahrheiten aus der Praxis und erklärt, warum der erste Schritt...
mehr...Einsparpotentiale erkennen
Mit dem 'Kaspersky OT Cybersecurity Savings Calculator' können Industrieunternehmen die potenziellen Kosten unzureichender OT-Sicherheit (Operational Technology) quantifizieren.
mehr...Sicherheitsportfolio erweitert
Die Firma Adlon entwickelt ihr Security Operations Center weiter und ergänzt das bestehende Managed SOC für Microsoft 365-Umgebungen (basierend auf Managed XDR) um ein weiteres Modul: 'Managed SOC Advanced'.
mehr...Predictive Maintenance ohne Hype
Predictive Maintenance ist zu einem Hype-Thema geworden und gilt als maßgeblich in der digitalen Transformation der Industrie. Wann sie sich wirklich lohnt, erläutert Tim Brexendorf, Geschäftsführer von Videc Data Engineering, in einem Expertipp.
mehr...So entspricht Software der EU-Verordnung
Neue gesetzliche Vorgaben zur Cybersicherheit betreffen nahezu alle Anbieter digitaler Produkte im EU-Markt. Die Cyberresilienz-Verordnung definiert verbindliche Standards und Meldepflichten. Dieser Beitrag gibt einen strukturierten Überblick über...
mehr...Zunehmende Cyberangriffe auf den Fertigungssektor
Ein Bericht von Check Point Exposure Management zur Bedrohungslage in der Fertigungsindustrie zeigt eine drastische Zunahme von Ransomware, Angriffen auf die Lieferkette und OT-bezogenen Cybervorfällen. Mit der zunehmenden Verbreitung intelligenter...
mehr...