In letzter Zeit wurden Organisationen mit einer neuen Ransomware-Methode konfrontiert, die besonders ausgeklügelt ist. Es ist wichtig, diese Taktik zu kennen, um sich und Ihre Organisation zu schützen. Hier die Details und konkrete Handlungsempfehlungen:
Die neue Masche
Angreifer nutzen eine mehrstufige Methode:
- Erstkontakt: Über Telefon werden Kontaktdetails der Zielpersonen gesammelt.
- Spam-Angriff: Nutzer werden mit Tausenden Spam-Nachrichten per E-Mail oder Teams überschwemmt.
- Fake-IT-Anrufe: Die Angreifer rufen an und geben sich als IT-Support aus, um Hilfe bei der Spam-Beseitigung anzubieten.
- Quick Assist als Hintertür: Sie nutzen Microsoft Quick Assist, um über einen 6-stelligen PIN Fernzugriff auf das System zu erhalten. Während sie scheinbar das Spam-Problem lösen, installieren sie eine SSH-Backdoor.
- Weitere Schritte: Das System wird an ein weiteres Team übergeben, das sich lateral im Netzwerk ausbreitet, Daten exfiltriert und letztendlich die Systeme verschlüsselt.
Zwei wichtige Erkenntnisse:
- Melden Sie Spam-Angriffe sofort an die IT und akzeptieren Sie keine blinden Hilfsangebote. Verifizieren Sie jeden Anruf, auch wenn er scheinbar von der IT stammt.
- Prüfen und deaktivieren Sie Microsoft Quick Assist.
- Quick Assist ist standardmäßig in Windows 10 und 11 (auch Professional und Enterprise) installiert und kann Firewalls und VPNs umgehen.
- So überprüfen Sie, ob Quick Assist aktiv ist: Drücken Sie die Windows-Taste, geben Sie „Quick“ ein und suchen Sie nach „Quick Assist“.
- Entfernen Sie Quick Assist zentral: Es ist ein Sicherheitsrisiko, das Angreifer leicht ausnutzen können.
