Microsoft blocca attacchi ransomware contro Teams
Topic
Approfondimenti
Trending
tutti

Microsoft blocca attacchi ransomware contro Teams

Microsoft ha rilevato e bloccato diversi attacchi effettuati da fine settembre con il ransomware Rhysida contro Teams, sfruttando la backdoor Oyster.
Microsoft blocca attacchi ransomware contro Teams
Sicurezza
Microsoft ha rilevato e bloccato diversi attacchi effettuati da fine settembre con il ransomware Rhysida contro Teams, sfruttando la backdoor Oyster.
Google AI Studio

Microsoft ha rilevato e bloccato vari attacchi effettuati con il ransomware Rhysida all’inizio del mese di ottobre. Il gruppo Vanilla Tempest hanno utilizzato domini simili a quelli di Teams per distribuire installer infetti. All’inizio del mese, l’azienda di Redmond aveva descritto varie tecniche sfruttate dai cybercriminali per colpire il noto servizio di comunicazione e collaborazione.

Prima Oyster e poi Rhysida

Gli attacchi sono stati rilevati a partire da fine settembre. I cybercriminali hanno avviato una campagna di malvertising usando inserzioni di Google e SEO poisoning per mostrare nei risultati siti che ospitano installer fasulli di Microsoft Teams. Gli utenti che cercano il vero installer sono ingannati da nomi di dominio simili a quelli legittimi.

Cliccando sul link presenti nei siti (con design simile a quello ufficiale di Teams) viene scaricato il file MSTeamsSetup.exe, lo stesso nome dell’installer ufficiale. Se eseguito viene scaricata sul computer la backdoor Oyster che permette l’accesso remoto, il furto di file, l’esecuzione di comandi e il download di altri payload.

Il gruppo Vanilla Tempest (noto anche come VICE SPIDER e Vice Society) ha sfruttato la backdoor Oyster per distribuire il ransomware Rhysida (in passato ha usato anche BlackCat, Quantum Locker e Zeppelin). Dopo l’esfiltrazione dei file viene eseguita la loro cifratura. I cybercriminali chiedono quindi il pagamento di un riscatto.

L’installer fake di Teams non è stato rilevato dalle soluzioni di sicurezza e dalle protezioni di Windows perché i cybercriminali hanno utilizzato certificati di firma legittimi Trusted Signing, SSL.com, DigiCert e GlobalSign. Microsoft ha revocato oltre 200 certificati, quindi l’installer viene bloccato da Defender Antivirus e Defender for Endpoint.

Microsoft Teams è uno dei servizi più popolari, quindi è anche uno dei più bersagliati dai cybercriminali. L’azienda di Redmond ha descritto le tecniche più comuni per colpire la versione business. L’accesso ai sistemi avviene principalmente tramite phishing o la truffa del supporto tecnico. Dopo aver aggiunto account, i cybercriminali inviano messaggi con link o file infetti. Vengono quindi rubati numerosi dati sensibili, come credenziali, token e documenti confidenziali.

Fonte: Bleeping Computer

Pubblicato il 17 ott 2025

Link copiato negli appunti

Ti potrebbe interessare

WormGPT e KawaiiGPT: LLM per cybercriminali

WormGPT e KawaiiGPT: LLM per cybercriminali
Con la Cyber Week di TotalAV hai VPN e antivirus a 19€ per un anno

Con la Cyber Week di TotalAV hai VPN e antivirus a 19€ per un anno
Data breach per la francese Leroy Merlin

Data breach per la francese Leroy Merlin
Chat Control: 5 minacce nascoste nella nuova versione

Chat Control: 5 minacce nascoste nella nuova versione "light"
WormGPT e KawaiiGPT: LLM per cybercriminali

WormGPT e KawaiiGPT: LLM per cybercriminali
Con la Cyber Week di TotalAV hai VPN e antivirus a 19€ per un anno

Con la Cyber Week di TotalAV hai VPN e antivirus a 19€ per un anno
Data breach per la francese Leroy Merlin

Data breach per la francese Leroy Merlin
Chat Control: 5 minacce nascoste nella nuova versione

Chat Control: 5 minacce nascoste nella nuova versione "light"
Luca Colantuoni
Pubblicato il
17 ott 2025
Link copiato negli appunti