Meerdere organisaties zijn de afgelopen weken het doelwit geworden van ransomware-aanvallen die begonnen via Microsoft Teams, zo meldt antivirusbedrijf Sophos. De virusbestrijder zag de afgelopen drie maanden vijftien incidenten, waarvan de helft in de afgelopen twee weken. De aanvallers gebruiken hun eigen Office 365-omgeving om via Microsoft Teams contact met het doelwit op te nemen. Microsoft Teams staat standaard toe dat gebruikers op een extern domein chats of meetings met interne gebruikers kunnen starten, stelt Mark Parsons van Sophos.

De aanvallers sturen de organisaties eerst een grote hoeveelheid spamberichten. Vervolgens nemen de aanvallers vanaf hun eigen Office 365-omgeving contact op met het doelwit. Daarbij doen de aanvallers zich voor als de "helpdesk". Tijdens het gesprek, dat via Microsoft Teams plaatsvindt, geven de aanvallers het doelwit instructies om een remote screen control session via Teams toe te staan. Zodra het doelwit dit doet kan de aanvaller malware op het systeem van deze gebruiker installeren en daarvandaan het netwerk verder compromitteren.

Het komt ook voor dat de aanvallers het doelwit de Microsoft remote access tool Quick Assist laten installeren, waarmee de aanvaller toegang tot het systeem krijgt. Sophos adviseert organisaties om hun Office 365-omgeving zo in te stellen dat Teams-gesprekken door externe organisaties niet mogelijk zijn of dit alleen tot partners is beperkt. Daarnaast zou ook het gebruik van remote access applicaties zoals Quick Assist moeten worden beperkt.