Microsoft Teams est dans le viseur des cybercriminels de Black Basta. En se faisant passer pour un service d’assistance, les pirates trompent leurs victimes pour installer des malwares sur leurs ordinateurs. Cette tactique a déjà été utilisée sur des centaines d’entreprises le mois dernier. On vous explique comment protéger votre organisation des hackers.
Les chercheurs d’OP Innovate ont découvert que Black Basta, un redoutable gang spécialisé dans les attaques par ransomware, se sert de plus en plus de Microsoft Teams pour arriver à ses fins. Selon les experts en sécurité, le groupe criminel a « une nouvelle tactique » pour exploiter la messagerie collaborative de Microsoft.
À lire aussi : Les hackers de Black Basta détournent une fonctionnalité de Windows pour propager des malwares
Le nouveau mode opératoire de Black Basta
Dans un premier temps, les pirates vont bombarder la boite mail des utilisateurs avec des spams. Durant cette première phase, les hackers vont envoyer en masse « des bulletins d’information, des confirmations d’inscription » pour rendre l’adresse inutilisable. Face à cette déferlante de mails, la cible va probablement chercher de l’aide.
C’est là que les pirates entrent en scène. En se faisant passer pour le service d’assistance de Microsoft Teams, ils vont contacter la cible par le biais de la messagerie. Pour berner l’utilisateur, ils se servent de comptes intitulés Help Desk ou Security Admin Helper.
Le cybercriminel va proposer à l’utilisateur de lui venir en aide en déployant « un outil d’accès à distance » sur leur ordinateur. Si la victime accepte d’installer un logiciel sur sa machine, elle bénéficiera d’une « assistance à distance », assure l’escroc.
En vérité, ce logiciel permet uniquement aux pirates de prendre le contrôle de l’ordinateur pour y cacher des malwares, comme le fameux Cobalt Strike. Ces virus permettent à Black Basta de garder la main sur le système. De fil en aiguille, les pirates se font un chemin jusqu’au réseau de l’entreprise, sur lequel ils peuvent chiffrer et voler les données.
Microsoft Teams, un nouveau vecteur d’attaque
Comme l’explique OP Innovate, Microsoft Teams « permet des interactions en temps réel avec les employés, plus difficiles à détecter que les e-mails de phishing classiques ». De plus, l’approche laisse l’attaquant « contourner les outils traditionnels de sécurité des e-mails ». C’est pourquoi Black Basta s’est mis à concentrer ses attaques sur la messagerie professionnelle.
Les chercheurs ont enregistré une explosion des attaques de cet acabit au cours du mois d’octobre 2024. Sur la période, « des centaines d’organisations » issues de la finance, de la technologie ou de gouvernements, ont été ciblées.
Pour couper l’herbe sous le pied des pirates, les chercheurs recommandent aux administrateurs de bloquer les communications externes, qui sont ouvertes par défaut sur Microsoft Teams. De cette façon, les cybercriminels ne pourront pas entrer en contact avec les employés de l’entreprise.
Pour bloquer les communications, rendez-vous dans le centre d’administration Teams. Allez ensuite dans la section Utilisateurs puis cliquez sur Accès externe. Désactivez l’option permettant aux membres de votre entreprise de communiquer avec des utilisateurs Teams dont les comptes ne sont pas gérés par une organisation. Cliquez sur Enregistrer pour valider. Le jour où vous aurez besoin d’une communication externe, vous pourrez « spécifier les domaines auxquels vous souhaitez faire confiance », explique Microsoft.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
OP Innovate