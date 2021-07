Een ransomware-aanval die plaatsvindt via malafide callcenters is veel gevaarlijker dan gedacht en kan ervoor zorgen dat organisaties binnen 48 uur volledig zijn versleuteld en hun intellectueel eigendom is gestolen, zo stelt Microsoft in een nieuwe analyse. Het techbedrijf waarschuwde vorige maand ook al voor de "BazaCall-campagne", maar heeft nu meer details gegeven.

De aanval begint met een e-mail waarin wordt gesteld dat de ontvanger gebruikmaakt van een bepaald programma en daar binnenkort voor moet betalen. Om het zogenaamde abonnement te annuleren moet een opgegeven telefoonnummer worden gebeld. Dit telefoonnummer komt uit bij een malafide callcenter. Slachtoffers die bellen worden door een callcentermedewerker doorgestuurd naar een website waar een Excel-bestand kan worden gedownload om het abonnement op te zeggen.

Dit Excel-document bevat een kwaadaardige macro. Wanneer gebruikers deze macro inschakelen wordt er malware op het systeem gedownload en uitgevoerd. Volgens Microsoft is de aanval mede succesvol doordat er geen links in het bericht aanwezig zijn en elke BazaCall-mail wordt verstuurd vanaf een andere afzender. Het gaat dan vaak om gratis e-maildiensten en gecompromitteerde e-mailaccounts.

Zodra de malware actief is hebben de aanvallers "remote hands-on-keyboard control", waardoor ze zich snel door het netwerk kunnen verspreiden. Met deze directe toegang verkent de aanvaller het netwerk en zoekt naar accountgegevens van lokale systeembeheerders en domeinbeheerders. Naast het gebruik van het callcenter zorgt deze hands-on aanval die de aanvallers binnen het netwerk uitvoeren ervoor dat deze dreiging gevaarlijker is dan traditionele, geautomatiseerde malware-aanvallen, stelt Microsoft.

Wanneer de aanvallers een waardevol doelwit hebben geïnfecteerd stelen ze eerst allerlei intellectueel eigendom. Hiervoor wordt er gebruikgemaakt van archiveringsprogramma 7-Zip en RClone. "In sommige gevallen lijkt datadiefstal het primaire doel van de aanval, wat vaak in voorbereiding voor toekomstige activiteiten is. In andere gevallen rolt de aanvaller na de datadiefstal ransomware uit", stelt Microsoft.

Het techbedrijf merkt op dat aanvallers succesvol blijven met het gebruik van social engineering en menselijke interactie bij aanvallen. "De BazaCall-campagne vervangt links en bijlagen in verstuurde e-mails met telefoonnummers, wat voor uitdagingen bij de detectie zorgt, met name bij traditionele anti-spam- en anti-phishingoplosisngen die op dergelijke indicatoren controleren."