Lo strumento di assistenza rapida di Windows abusato potrebbe aiutare gli attori della minaccia ransomware Black Basta

L’utilizzo di strumenti di accesso remoto rappresenta una doppia sfida per le imprese, in particolare se sfruttati da autori di minacce esperti in sofisticate tattiche di ingegneria sociale. Recentemente, Microsoft Threat Intelligence ha evidenziato l'emergere di una campagna di phishing Black Basta Ransomware orchestrata da un gruppo motivato finanziariamente identificato come Storm-1811. Questo gruppo utilizza un approccio di ingegneria sociale, mascherandosi da entità fidate come il supporto Microsoft o il personale IT interno, per convincere le vittime a concedere l'accesso remoto tramite Quick Assist, un'applicazione Windows che facilita le connessioni remote.

Una volta stabilita la fiducia e concesso l’accesso, Storm-1811 procede con la distribuzione di vari malware, culminando infine nella distribuzione del ransomware Black Basta. Il metodo sottolinea la facilità con cui gli strumenti legittimi di accesso remoto possono essere manipolati da autori di minacce con abili competenze di ingegneria sociale, aggirando le tradizionali misure di sicurezza. Queste tattiche avanzate di ingegneria sociale richiedono una risposta proattiva da parte dei team di sicurezza aziendali, sottolineando una maggiore vigilanza e una formazione completa dei dipendenti.

Il modus operandi di Storm-1811 prevede una combinazione di vishing, email bombing e furto d'identità del personale IT per ingannare e compromettere gli utenti. Gli aggressori inondano le vittime di e-mail prima di avviare chiamate vishing, sfruttando la confusione che ne deriva per costringere le vittime ad accettare richieste dannose di Quick Assist. Questo bombardamento orchestrato serve a disorientare le vittime, aprendo la strada a una manipolazione efficace e alla successiva diffusione del malware.

Le osservazioni di Microsoft rivelano l'utilizzo da parte di Storm-1811 di vari malware, tra cui Qakbot e Cobalt Strike, forniti tramite strumenti di monitoraggio remoto come ScreenConnect e NetSupport Manager. Una volta stabilito l'accesso, gli aggressori utilizzano comandi basati su script per scaricare ed eseguire payload dannosi, perpetuando il loro controllo sui sistemi compromessi. Inoltre, Storm-1811 sfrutta strumenti come il tunneling OpenSSH e PsExec per mantenere la persistenza e distribuire il ransomware Black Basta sulle reti .

Per mitigare tali attacchi, si consiglia alle organizzazioni di disinstallare gli strumenti di accesso remoto quando non sono in uso e di implementare soluzioni di gestione dell’accesso con privilegi con un’architettura zero-trust. La formazione regolare dei dipendenti è fondamentale per accrescere la consapevolezza delle tattiche di ingegneria sociale e delle truffe di phishing, consentendo al personale di identificare e contrastare potenziali minacce. Le soluzioni e-mail avanzate e il monitoraggio degli eventi rafforzano ulteriormente le difese, consentendo il rilevamento tempestivo e la mitigazione delle attività dannose.

Lo sfruttamento di strumenti di accesso remoto attraverso sofisticate tecniche di ingegneria sociale sottolinea il panorama in evoluzione delle minacce informatiche. Affrontare queste sfide richiede un approccio articolato che comprenda difese tecnologiche, formazione dei dipendenti e misure di sicurezza proattive per salvaguardarsi dallo sfruttamento dannoso.