Hackergruppe Black Basta macht auf Helpdesk

Die Tricks der Cyberbetrüger sind aufwändiger geworden. Oft belassen sie es nicht mehr beim blossen versenden von E-Mails mit gefährlichen Anhängen. Vielmehr versuchen sie, durch zusätzliche Interaktion mit ihren potenziellen Opfern eine Schadsoftware auf deren Rechnern zu installieren. Dies zeigt auch der exemplarische Fall, über den das Bundesamt für Cybersicherheit (BACS) in seinem aktuellen Wochenrückblick berichtet. Dabei versucht die Ransomware-Gruppe "Black Basta", das Vertrauen ihrer potenziellen Opfer zu gewinnen, um anschliessend Schadsoftware auf deren Rechnern zu installieren.

Spam-Flut und Fake-Support

Die Ransomware-Bande versendet zunächst etliche Spam-E-Mails im Sekundentakt. Die Betroffenen wenden sich infolge des sogenannten "E-Mail-Bombing" oftmals hilfesuchend an den Helpdesk ihres Unternehmens, wie das BACS erklärt. Die Cyberkriminellen gäben sich daraufhin selber als vertrauenswürdige Support-Mitarbeitende aus. Als solcher getarnt, schicken sie ihren Opfern per Microsoft Teams-Chat legitim getarnte QR-Codes. Allfällige Sicherheitswarnungen würden von den Empfängerinnen und Empfängern oft ignoriert, da es sich aus Sicht der Betroffenen schliesslich um den angeblichen vertrauenswürdigen Support des eigenen Unternehmens handle. Scannen die Opfer den QR-Code, laden sie unwissentlich Schadsoftware auf ihre Rechner herunter. Mit deren Hilfe können die Kriminellen etwa das Unternehmensnetzwerk kompromittieren oder einen Ransomwareangriff starten.

Die Betrugsmasche beinhalte zusätzlich zu den Chat-Nachrichten auch Voice over IP Anrufe, um die Opfer weiter zu täuschen, heisst es beim BACS. Die Betroffenen würden dabei zum Herunterladen von Fernwartungsprogrammen verleitet und gewähren somit einen direkten Zugriff auf ihre Systeme. 

Mitarbeitende sensibilisieren

Die Ransomware-Gruppe "Black Basta" tauchte laut BACS das erste mal im April 2022 auf. Die Hackergruppe arbeitet nach dem Ransomware-as-a-Service" (RaaS)-Modell, bietet also Ransowareangriffe als Dienstleistung im Darknet an. Durch das Mieten der Ransomware können auch weniger technik-affine Kriminelle Angriffe durchführen und einen Teil des Lösegelds an die Entwickler der Erpressungssoftware abgeben. "Black Basta" verschlüsselt die angegriffenen Daten ihrer Opfer laut BACS nicht nur, sondern stiehlt diese auch. Dadurch können die Kriminellen ihre Opfer gleich doppelt erpressen. Zu den Schweizer Opfern von "Black Basta" gehört der Personalvermittler Das Team, wie Sie hier lesen können.

Das BACS rät Unternehmen, ihre Mitarbeitenden für solche Vorfälle zu sensibilisieren. Ausserdem empfiehlt die Behörde, ein sogenanntes Applikations-Whitelisting einzusetzen. Schliesslich rät das Bundesamt dazu, niemanden  einen Fernzugriff auf den Computer zu gestatten. Wer dies doch getan habe, sollte den entsprechenden Rechner von einem Systemspezialisten auf Malware untersuchen lassen.

Dass Cyberkriminelle sich mittlerweile mehr einfallen lassen, um die verstärkten Sicherheitsmassnahmen wie die Zwei-Faktor-Authentifizierung zu umgehen, zeigt auch ein anderer Fall, der dem BACS gemeldet wurde. Dabei überkleben Betrüger auf Schweizer Parkplätzen echte mit manipulierten QR-Codes. Mehr dazu erfahren Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.