Publié le : 28/10/2024
Une nouvelle stratégie d'attaque par le groupe Black Basta
Depuis quelques mois, le groupe de ransomware Black Basta s'est tourné vers une méthode inédite pour accéder aux systèmes des entreprises : ils utilisent désormais Microsoft Teams pour se faire passer pour le support technique. Cette approche leur permet de contourner certaines mesures de sécurité classiques en se faisant passer pour des membres de l’équipe interne de support informatique.
Actif depuis 2022, Black Basta est déjà responsable de nombreuses cyberattaques mondiales. Leur technique d'attaque repose souvent sur l’ingénierie sociale, une méthode de manipulation psychologique visant à tromper les utilisateurs et à les amener à baisser leur garde face à de faux employés de leur propre entreprise.
Leur technique a évolué avec une première phase qui consiste à submerger les employés ciblés de courriels indésirables pour simuler une surcharge de messages. Une fois la victime distraite par cette avalanche de spams, les pirates se manifestent en se faisant passer pour le support informatique de l’entreprise. Là où ils utilisaient autrefois des appels téléphoniques pour contacter la cible, ils passent désormais par Microsoft Teams pour établir le premier contact.
En utilisant des profils externes conçus pour ressembler au support informatique, les cybercriminels s’assurent que leur cible les identifie comme des collaborateurs légitimes. Leur discours reste le même : aider l’utilisateur à traiter le problème de spam, leur permettant ainsi de gagner la confiance de la victime.
Une fois le contact établi, les pirates persuadent la victime d’installer des logiciels comme AnyDesk ou d'utiliser la fonction Assistance rapide de Windows. Avec cet accès, ils sont en mesure d’exécuter des programmes malveillants, permettant de prendre un contrôle durable et persistant sur l’ordinateur. Parmi les logiciels déployés, des fichiers nommés "AntispamAccount.exe", "AntispamUpdate.exe" et "AntispamConnectUS.exe" servent de couverture aux charges malveillantes. Ils installent également des outils d’accès comme Cobalt Strike pour renforcer leur présence et faciliter l'exécution de futures actions.
Les pirates perfectionnent leur stratégie en utilisant des adresses e-mails et des noms de profils conçus pour imiter ceux du support technique, créant ainsi un environnement de confiance. Les identités qu'ils empruntent incluent des adresses similaires à celles-ci :
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
Ces noms de domaine et identifiants sont conçus pour ressembler aux adresses officielles, de sorte que l’utilisateur se sente en confiance.
Les attaques de ce type révèlent l’importance d’une vigilance accrue face aux demandes provenant de contacts externes, même via des plateformes internes comme Microsoft Teams. Les entreprises peuvent renforcer leur sécurité en désactivant les accès pour les utilisateurs externes dans les paramètres de Microsoft Teams, et en formant les employés aux bonnes pratiques de cybersécurité. L’application de protocoles de vérification pour toutes les demandes d’assistance renforce la sécurité et réduit le risque de cyberattaques via l’ingénierie sociale.
En prenant des mesures préventives et en informant les équipes, il est possible de se protéger contre ces nouvelles formes d’attaques sophistiquées, qui allient manipulation humaine et exploitation des outils numériques.