Criminelen die zich bezighouden met het verspreiden van de Black Basta- en Cactus-ransomware maken gebruik van 'e-mail bombing' voor het uitvoeren van social engineering-aanvallen, om zo toegang te krijgen tot de systemen van slachtoffers. Dat laat antivirusbedrijf Trend Micro weten. Bij de aanvallen ontvangt het slachtoffer als eerste een grote hoeveelheid e-mails. Vervolgens wordt het slachtoffer via Microsoft Teams benaderd door iemand die zich voordoet als een medewerker van de it-afdeling of helpdesk.

De aanvaller laat het slachtoffer remote management tools installeren of een remote shell uitvoeren. Zodra er toegang tot het systeem is verkregen worden onder andere inloggegevens en vpn-configuratiebestanden gestolen. Wanneer de aanvallers verdere toegang binnen het netwerk hebben wordt gevoelige informatie gestolen en als laatste de ransomware uitgerold. Organisaties krijgen het advies om het gebruik van remote assistance tools te beperken, personeel te trainen over social engineering en best practices voor Microsoft Teams toe te passen.