Zwei Gruppen haben in den letzten drei Monaten mindestens 15 Organisationen ins Visier genommen, um sensible Daten zu stehlen und Ransomware einzusetzen. Die Sicherheitsforscher von Sophos X-Ops haben beobachtet, dass mindestens zwei Bedrohungsakteurgruppen E-Mail-Bombenangriffe gegen zahlreiche Organisationen im Westen durchführen, um ihre Daten zu stehlen und Ransomware einzusetzen.

Die Angreifer nutzen Microsoft Teams oder ähnliche Online-Kollaborationstools, um Problemlösungen vorzutäuschen. Wenn Opfer darauf hereinfallen, fordern sie Zugriff auf Quick Assist oder das Bildschirmfreigabe-Tool von Microsoft Teams, um die Kontrolle über die Computer ihrer Ziele zu übernehmen. Sobald ihnen der Zugriff gewährt wird, setzen die Angreifer Ransomware ein.

Sophos X-Ops konnte die Angriffe zwar nicht mit großer Sicherheit bestimmten Gruppen zuordnen, stellte jedoch „Verbindungen“ zwischen einem der Bedrohungsakteure und Fin7 fest – einer bekannten russischen finanziell motivierten Hackergruppe. Die zweite Gruppe scheint mit Storm-1811 verbunden zu sein, einer weiteren finanziell motivierten Cyberkriminellen Gruppe.

Laut den Forschern hat der Principal Threat Researcher von Sophos, Sean Gallagher, aufgedeckt, dass Teams durch die Standardkonfiguration individuellen Zugriff von außerhalb der Organisation ermöglicht. Unternehmen, die Microsoft 365 nutzen, sollten daher wachsam sein, die Unternehmenskonfiguration überprüfen, externe Accountnachrichten blockieren und den Zugriff auf entfernte Tools unterbinden, die nicht regelmäßig von ihren Organisationen genutzt werden.