L'eina d'assistència ràpida de Windows abusada podria ajudar els actors d'amenaça de Black Basta Ransomware

La utilització d'eines d'accés remot presenta un doble repte per a les empreses, sobretot quan són explotades per actors d'amenaça amb coneixements de tàctiques sofisticades d'enginyeria social. Recentment, Microsoft Threat Intelligence va destacar l'aparició d'una campanya de pesca de pesca Black Basta Ransomware orquestrada per un grup de motivació financera identificat com Storm-1811. Aquest grup utilitza un enfocament d'enginyeria social, dissimulant-se com a entitats de confiança com el suport de Microsoft o el personal informàtic intern, per convèncer les víctimes perquè concedeixin accés remot mitjançant Quick Assist, una aplicació de Windows que facilita les connexions remotes.

Un cop establerta la confiança i concedit l'accés, Storm-1811 procedeix a desplegar diversos programes maliciosos, que finalment culmina amb la distribució del ransomware Black Basta. El mètode subratlla la facilitat amb què les eines legítimes d'accés remot poden ser manipulades per actors d'amenaça amb habilitats d'enginyeria social, evitant les mesures de seguretat tradicionals. Aquestes tàctiques avançades d'enginyeria social requereixen una resposta proactiva dels equips de seguretat empresarial, posant èmfasi en una vigilància més gran i una formació integral dels empleats.

El modus operandi de Storm-1811 implica una combinació de vishing, bombardeig de correu electrònic i suplantació d'identitat del personal informàtic per enganyar i comprometre els usuaris. Els agressors inunden les víctimes amb correus electrònics abans d'iniciar trucades de vishing, aprofitant la confusió consegüent per coaccionar les víctimes perquè acceptin sol·licituds d'assistència ràpida malicioses. Aquest bombardeig orquestrat serveix per desorientar les víctimes, obrint el camí per a una manipulació exitosa i el posterior desplegament de programari maliciós.

Les observacions de Microsoft revelen l'ús per part de Storm-1811 de diversos programes maliciosos, inclosos Qakbot i Cobalt Strike, lliurats mitjançant eines de monitorització remota com ScreenConnect i NetSupport Manager. Un cop establert l'accés, els atacants utilitzen ordres amb guió per descarregar i executar càrregues útils malicioses, perpetuant el seu control sobre els sistemes compromesos. A més, Storm-1811 aprofita eines com el túnel OpenSSH i PsExec per mantenir la persistència i desplegar el ransomware Black Basta a les xarxes .

Per mitigar aquests atacs, es recomana a les organitzacions que desinstal·lin les eines d'accés remot quan no estiguin en ús i que implementin solucions de gestió d'accés amb privilegis amb una arquitectura de confiança zero. La formació periòdica dels empleats és primordial per conrear la consciència de les tàctiques d'enginyeria social i les estafes de pesca, donant poder al personal per identificar i frustrar possibles amenaces. Les solucions de correu electrònic avançades i la supervisió d'esdeveniments enforteixen encara més les defenses, permetent la detecció ràpida i la mitigació d'activitats malicioses.

L'explotació d'eines d'accés remot mitjançant una enginyeria social sofisticada subratlla el panorama en evolució de les amenaces cibernètiques. Afrontar aquests reptes requereix un enfocament polifacètic que inclogui defenses tecnològiques, educació dels empleats i mesures de seguretat proactives per protegir-se de l'explotació maliciosa.