Die iranische Gruppe MuddyWater wurde mit einer neuen Cyberangriffskampagne in Verbindung gebracht, die Microsoft Teams als Einstiegsvektor nutzt. Die Angreifer geben sich als Microsoft-Techniksupport aus, um ihre Opfer zu kontaktieren und fordern Fernzugriff oder die Installation von Schadsoftware an. Einmal im System, stehlen sie Anmeldedaten und sensible Daten und setzen eine falsche Ransomware ein, um die Aufmerksamkeit abzulenken.
Identitätstäuschungstechnik und Fernzugriffswerkzeuge 🛠️
Die Angreifer beginnen das Gespräch in Teams, indem sie vorgeben, Support-Mitarbeiter zu sein, und argumentieren mit dringenden Sicherheitsproblemen. Unter diesem Vorwand fordern sie das Opfer auf, legitime Tools wie ScreenConnect oder AnyDesk zu installieren. Sobald sie die Fernsteuerung haben, extrahieren die Angreifer im System gespeicherte Anmeldedaten und Daten von Unternehmensanwendungen. Schließlich setzen sie eine Ransomware ein, die keine Dateien verschlüsselt, sondern den Angriff nur simuliert, um den tatsächlichen Datendiebstahl zu verbergen.
Die falsche Ransomware: ein Klassiker, um die Schuld auf andere zu schieben 😅
Das Beste daran ist, dass die Angreifer, nachdem sie Ihre Anmeldedaten und Daten gestohlen haben, die Höflichkeit besitzen, eine falsche Ransomware zu hinterlassen, damit Sie denken, es war ein generischer Angriff und kein gezielter Einbruch. Es ist, als ob ein Dieb in Ihr Haus einbricht, den Safe mitnimmt und vor dem Gehen einen Zettel hinterlässt, auf dem steht: Der Nachbar war es. Wenigstens haben sie sich die Mühe gemacht, die Verschlüsselung zu simulieren, auch wenn Ihre Dateien intakt sind und Ihr Teams-Konto bereits im Dark Web zum Verkauf steht.