Bild generiert durch OpenAI's DALL·E
Microsoft Teams als Einfallstor – wer hätte das gedacht? Die Ransomware-Gruppe Black Basta zeigt aktuell, wie gezielt sich moderne Angriffe gegen die alltäglichen Tools von Unternehmen richten. Statt klassischer Phishing-E-Mails nutzt Black Basta Microsoft Teams-Chats, um sich als vermeintlicher IT-Support in interne Systeme einzuschleusen. Mit der Hilfe von falschen Accounts und täuschend echt gestalteten QR-Codes umgehen sie Sicherheitsmechanismen wie die Multi-Faktor-Authentifizierung und gewinnen direkten Zugriff auf sensible Daten. Dieser Angriff unterstreicht, dass IT-Sicherheit mehr ist als nur technische Hürden – sie fordert die Wachsamkeit und den Schutz bis in die gewohnten Kommunikationswege.
Black Basta und Social-Engineering-Taktik
Die Hackergruppe Black Basta ist längst kein unbekannter Name in der Cybersicherheitswelt. Mit gezielten Ransomware-Angriffen auf Unternehmen, Datenlecks und Drohungen zur Veröffentlichung vertraulicher Informationen hat sie sich einen Namen gemacht. Doch statt weiter auf altbewährte Methoden zu setzen, hat Black Basta ihre Taktik teilweise angepasst und greift nun direkt in die Arbeitsprozesse von Unternehmen ein – mit Microsoft Teams als Angriffswerkzeug.
Die Vorgehensweise ist dabei ebenso simpel wie effektiv. Black Basta nutzt externe Benutzerkonten aus Entra ID Tenants (Microsofts Identitäts- und Zugriffsmanagement-Lösung) und gibt sich als IT-Support aus. Namen wie „Help Desk“ oder „Support Service Admin“ suggerieren eine glaubwürdige Verbindung, insbesondere wenn Mitarbeitende massive E-Mail-Spam-Angriffe erleben und daraufhin im Teams-Chat vermeintliche Unterstützung erhalten. Die Angreifer treten dort mit gefälschten Accounts wie supportadminstrator.onmicrosoft[.]com oder cybersecurityadmin.onmicrosoft[.]com auf und schaffen so eine authentische, aber gefährliche Umgebung für ihre Opfer.
Umgehung der Multi-Faktor-Authentifizierung
Ein besonders Detail: Die Methode umgeht selbst Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA). Indem die Angreifer gezielt Mitarbeitende dazu bringen, Remote-Access-Tools wie AnyDesk oder QuickAssist selbst zu installieren, können sie MFA umgehen – schließlich haben die Mitarbeiter den Zugang initiiert und damit die vorgelagerten Securitylayer übersprungen. Diese Art des Social Engineerings nutzt die Gutgläubigkeit und das Vertrauen der Mitarbeitenden aus und verwandelt sie in unfreiwillige Komplizen der Angreifer.
E-Mail-Bombing und VoIP-Anrufe als Täuschungsmittel
Eine zusätzlich bekannte Taktik der Angreifer, ist das sogenannte E-Mail-Bombing: Die Opfer werden mit unzähligen Spam-Nachrichten überflutet, die im Sekundentakt eintreffen und für Verwirrung sowie Überforderung sorgen. Infolge dieser digitalen Attacke suchen die Betroffenen oft Hilfe beim internen Helpdesk ihres Unternehmens – eine Gelegenheit, die die Kriminellen gezielt nutzen. Um die Täuschung weiter zu verstärken, setzen die Angreifer auch auf VoIP-Anrufe, bei denen sie sich als vertrauenswürdige IT-Support-Mitarbeitende ausgeben. Diese Anrufe verleihen dem Angriff eine zusätzliche Glaubwürdigkeit und überzeugen die Opfer häufig dazu, Anweisungen zu folgen und etwa Fernwartungssoftware zu installieren, was den Tätern letztendlich direkten Zugriff auf die Unternehmenssysteme gewährt.
QR-Codes als Instrument für gezielte Angriffe
Black Basta bleibt jedoch nicht bei simplen Teams-Nachrichten stehen. Zusätzlich verschicken die Angreifer QR-Codes, die auf täuschend echt gestaltete Phishing-Seiten verweisen. Diese Domains ahmen häufig den Namen des angegriffenen Unternehmens nach – beispielsweise könnte der QR-Code auf unternehmen.qr-s1[.]com verweisen. Der Mitarbeitende wird verleitet, den Code zu scannen und wird damit unbemerkt auf eine Seite geleitet, die dazu dient, weitere Zugangsinformationen zu stehlen oder direkt Remote-Zugriff auf das Gerät zu gewähren.
Indicators of Compromise (IoCs)
Um potenziell gefährdete Systeme zu identifizieren, sollten Unternehmen die folgenden Indicators of Compromise (IoCs) überwachen:
Gefälschte Entra ID-Konten: Beispiele für gefährliche Domains, die von Black Basta verwendet werden, sind:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
Malware-bezogene QR-Code-Domains:
qr-s1[.]com
qr-s2[.]com
qr-s3[.]com
qr-s4[.]com
Diese Indikatoren können als Ausgangspunkt dienen, um verdächtige Aktivitäten zu erkennen und potenzielle Angriffe frühzeitig abzufangen. Wichtig anzumerken ist, das sich diese IoCs verändern können und werden - diese Liste sollte nicht als einzigstes Erkennungsmerkmal genutzt werden. Die bekannten IoCs wurden von ReliaQuest und MyCERT veröffentlicht.
Real-World-Angriffe
Die Ransomware-Gruppe Black Basta hat bereits mehrere prominente Unternehmen mit dieser Methode erfolgreich angegriffen, laut dem Portal UCTODAY. Zu den Opfern zählen unter anderem der britische Wasserversorger Southern Water, der Versicherungsanbieter Corvus und das Outsourcing-Unternehmen Capita. Besonders schwerwiegend war der Angriff auf Capita, der das Unternehmen Schätzungen zufolge zwischen 15 und 20 Millionen US-Dollar gekostet hat.
Sicherheitsstrategie: Wie Unternehmen auf die Bedrohung reagieren sollten
Der Black Basta-Angriff mit Microsoft Teams zeigt, wie wichtig eine flexible und umfassende Sicherheitsstrategie ist. Eine zentrale Maßnahme ist die Kontrolle und Beschränkung externer Zugriffe in Microsoft Teams. Durch gezielte Konfigurationen können Unternehmen den Zugang von externen Kontakten einschränken und sicherstellen, dass Mitarbeitende bei Nachrichten von externen Nutzern automatisch gewarnt werden. Diese Transparenz hilft, potenziell gefährliche Kontakte frühzeitig zu erkennen und bietet gleichzeitig eine erste Verteidigungslinie.
Ein weiterer wichtiger Ansatz ist die Kontrolle über Remote-Zugriffstools wie AnyDesk oder QuickAssist, die Black Basta für ihre Angriffe nutzt. Unternehmen sollten klare Regeln darüber festlegen, welche Remote-Tools für den IT-Support genutzt werden dürfen, und durch „Whitelisting“ den Einsatz auf diese Programme beschränken. Eine regelmäßige Überwachung sorgt dafür, dass unerlaubte Zugriffe erkannt werden, bevor die Angreifer Schaden anrichten können.
Zusätzlich sollten erweiterte Authentifizierungsmethoden eingesetzt werden, um das Risiko von Social-Engineering-Angriffen zu verringern. Multi-Faktor-Authentifizierung (MFA) bleibt ein zentraler Schutz, allerdings können Social-Engineering-Techniken MFA umgehen, wenn Mitarbeitende zur Installation von Tools bewegt werden, die den Angreifern Zugang gewähren. Ein Ansatz zur zusätzlichen Absicherung ist die Verhaltensanalyse: Diese Systeme erkennen ungewöhnliche Aktivitäten – etwa das plötzliche Installieren neuer Remote-Tools – und schlagen Alarm, wenn sich das Benutzerverhalten von den üblichen Mustern abhebt.
Da Angriffe über gefälschte Domains und QR-Codes zunehmend eingesetzt werden, ist die frühzeitige Erkennung solcher Bedrohungen entscheidend. Sicherheitslösungen sollten neue und verdächtige Domains, die dem Firmennamen ähneln, automatisch identifizieren und gegebenenfalls blockieren. Gleichzeitig ist es wichtig, Mitarbeitende zu schulen, damit sie verdächtige QR-Codes erkennen und im Zweifelsfall Vorsicht walten lassen.
Regelmäßige, praxisnahe Schulungen sind eine der besten Verteidigungsstrategien gegen Social Engineering. Das Wissen und Bewusstsein der Mitarbeitenden sind zentrale Schutzfaktoren, die durch realistische Schulungsprogramme und gezielte Simulationen gestärkt werden können. Phishing-Simulationen und Übungen, die das Erkennen gefälschter Teams-Nachrichten trainieren, machen Mitarbeitende zu aktiven Verteidigern der Unternehmenssicherheit und stärken gleichzeitig das Vertrauen in die eigenen Fähigkeiten.
Diese kombinierte Strategie aus technischen Maßnahmen und kontinuierlicher Sensibilisierung schafft eine widerstandsfähige Sicherheitskultur, die Unternehmen hilft, Angriffen wie denen von Black Basta effektiv zu begegnen und sich bestmöglich zu schützen.
Fazit
In der Welt der Cyber Security bleibt nichts lange konstant. Die Angriffe von Gruppen wie Black Basta zeigen, wie flexibel und kreativ Bedrohungsakteure heute agieren und dass neue Angriffsvektoren – wie Microsoft Teams – schnell zu beliebten Einfallstoren werden können.
Auch wenn eine durchdachte Kombination aus technischen Maßnahmen und regelmäßiger Sensibilisierung Mitarbeitende und Systeme gut schützt, ist die Entwicklung in diesem Bereich nie abgeschlossen. Unternehmen müssen darauf vorbereitet sein, ihre Strategien laufend anzupassen und neue Bedrohungen frühzeitig zu erkennen. Cyber Security ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der die Unternehmen und seine Schutzmaßnahmen kontinuierlich weiterentwickelt.
Auch in diesem Fall - der Angriffsweg und die Methoden werden sich über die Zeit leicht ändern und anpassen.