image

Microsoft: ransomware-aanval via callcenters gevaarlijker dan gedacht

vrijdag 30 juli 2021, 12:00 door Redactie, 4 reacties

Een ransomware-aanval die plaatsvindt via malafide callcenters is veel gevaarlijker dan gedacht en kan ervoor zorgen dat organisaties binnen 48 uur volledig zijn versleuteld en hun intellectueel eigendom is gestolen, zo stelt Microsoft in een nieuwe analyse. Het techbedrijf waarschuwde vorige maand ook al voor de "BazaCall-campagne", maar heeft nu meer details gegeven.

De aanval begint met een e-mail waarin wordt gesteld dat de ontvanger gebruikmaakt van een bepaald programma en daar binnenkort voor moet betalen. Om het zogenaamde abonnement te annuleren moet een opgegeven telefoonnummer worden gebeld. Dit telefoonnummer komt uit bij een malafide callcenter. Slachtoffers die bellen worden door een callcentermedewerker doorgestuurd naar een website waar een Excel-bestand kan worden gedownload om het abonnement op te zeggen.

Dit Excel-document bevat een kwaadaardige macro. Wanneer gebruikers deze macro inschakelen wordt er malware op het systeem gedownload en uitgevoerd. Volgens Microsoft is de aanval mede succesvol doordat er geen links in het bericht aanwezig zijn en elke BazaCall-mail wordt verstuurd vanaf een andere afzender. Het gaat dan vaak om gratis e-maildiensten en gecompromitteerde e-mailaccounts.

Zodra de malware actief is hebben de aanvallers "remote hands-on-keyboard control", waardoor ze zich snel door het netwerk kunnen verspreiden. Met deze directe toegang verkent de aanvaller het netwerk en zoekt naar accountgegevens van lokale systeembeheerders en domeinbeheerders. Naast het gebruik van het callcenter zorgt deze hands-on aanval die de aanvallers binnen het netwerk uitvoeren ervoor dat deze dreiging gevaarlijker is dan traditionele, geautomatiseerde malware-aanvallen, stelt Microsoft.

Wanneer de aanvallers een waardevol doelwit hebben geïnfecteerd stelen ze eerst allerlei intellectueel eigendom. Hiervoor wordt er gebruikgemaakt van archiveringsprogramma 7-Zip en RClone. "In sommige gevallen lijkt datadiefstal het primaire doel van de aanval, wat vaak in voorbereiding voor toekomstige activiteiten is. In andere gevallen rolt de aanvaller na de datadiefstal ransomware uit", stelt Microsoft.

Het techbedrijf merkt op dat aanvallers succesvol blijven met het gebruik van social engineering en menselijke interactie bij aanvallen. "De BazaCall-campagne vervangt links en bijlagen in verstuurde e-mails met telefoonnummers, wat voor uitdagingen bij de detectie zorgt, met name bij traditionele anti-spam- en anti-phishingoplosisngen die op dergelijke indicatoren controleren."

Image

Reacties (4)
30-07-2021, 15:38 door spatieman
india scam call center dus,
30-07-2021, 16:19 door Anoniem
Door spatieman: india scam call center dus,

Waarom ?
De relatie met ransomware en data theft ligt geloof ik vaker in Oekraine , Rusland e.d..

De Indiase callcenters kom je m.i. meer tegen bij de helpdesk scams (betalen voor een nep-probleem) e.d.
02-08-2021, 10:31 door Henri Koppen
Heel slim, dat scherm in de Excel sheet.. dus dat je een security melding krijgt en Enable Content moet aanzetten om de inhoud te zien....
04-08-2021, 08:05 door [Account Verwijderd] - Bijgewerkt: 04-08-2021, 08:06
Dit Excel-document bevat een kwaadaardige macro. Wanneer gebruikers deze macro inschakelen wordt er malware op het systeem gedownload en uitgevoerd.

Wacht even, een macro kan een bestand downloaden van internet en dat uitvoeren? Dat is net zoiets als een baby een kaasschaaf geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.