A visszaélt Windows gyorssegítő eszköz segíthet a Black Basta Ransomware fenyegető szereplőinek

A távelérési eszközök használata kettős kihívást jelent a vállalkozások számára, különösen akkor, ha kifinomult szociális tervezési taktikákban jártas fenyegetés szereplői használják ki. Nemrég a Microsoft Threat Intelligence kiemelte egy Black Basta Ransomware adathalász kampány megjelenését, amelyet egy pénzügyileg motivált, Storm-1811 néven azonosított csoport szervezett. Ez a csoport társadalmilag megtervezett megközelítést alkalmaz, megbízható entitásnak álcázva magát, mint például a Microsoft támogatása vagy a belső informatikai személyzet, hogy rávegye az áldozatokat, hogy távoli hozzáférést biztosítsanak a Quick Assist, a távoli kapcsolatokat elősegítő Windows-alkalmazáson keresztül.

A bizalom megalapozása és a hozzáférés megadása után a Storm-1811 különféle rosszindulatú programokat telepít, amelyek végül a Black Basta ransomware terjesztésében csúcsosodnak ki. A módszer rávilágít arra, hogy a hagyományos biztonsági intézkedések megkerülésével milyen könnyen manipulálhatják a legitim távelérési eszközöket a fenyegetés szereplői, akik megfelelő társadalommérnöki készségekkel rendelkeznek. Ezek a fejlett szociális tervezési taktikák szükségessé teszik a vállalati biztonsági csapatok proaktív válaszát, hangsúlyozva a fokozott éberséget és az átfogó munkavállalói képzést.

A Storm-1811 működési módja magában foglalja a vishing, az e-mail bombázás és az IT-személyzet megszemélyesítésének kombinációját a felhasználók megtévesztésére és kompromittálására. A támadók e-mailekkel árasztják el az áldozatokat, mielőtt hívást kezdeményeznének, kihasználva az ebből eredő zavart, hogy rákényszerítsék az áldozatokat, hogy elfogadják a rosszindulatú Quick Assist kéréseket. Ez a szervezett bombázás arra szolgál, hogy elzavarja az áldozatokat, megnyitva az utat a rosszindulatú programok sikeres manipulálása és későbbi telepítése előtt.

A Microsoft megfigyelései azt mutatják, hogy a Storm-1811 különféle rosszindulatú programokat használ, köztük a Qakbotot és a Cobalt Strike-ot, amelyeket távoli megfigyelőeszközökön, például a ScreenConnecten és a NetSupport Manageren keresztül szállítanak. A hozzáférés létrejöttét követően a támadók parancsfájl-parancsokat alkalmaznak a rosszindulatú rakományok letöltésére és végrehajtására, megőrizve ellenőrzésüket a feltört rendszerek felett. Ezenkívül a Storm-1811 olyan eszközöket is felhasznál, mint az OpenSSH tunneling és a PsExec, hogy fenntartsa a kitartást és telepítse a Black Basta ransomware-t a hálózatokon .

Az ilyen támadások mérséklése érdekében a szervezeteknek azt tanácsoljuk, hogy távolítsák el a távelérési eszközöket, amikor nincsenek használatban, és vezessenek be privilégium-hozzáférés-kezelési megoldásokat nulla megbízhatóságú architektúrával. Az alkalmazottak rendszeres képzése kiemelten fontos a szociális tervezési taktikák és az adathalász csalások tudatosításában, és képessé teszi a személyzetet a potenciális veszélyek azonosítására és megakadályozására. A fejlett e-mail megoldások és az eseményfigyelés tovább erősítik a védelmet, lehetővé téve a rosszindulatú tevékenységek azonnali észlelését és mérséklését.

A távelérési eszközök kifinomult social engineering révén történő kiaknázása aláhúzza a kiberfenyegetések változó környezetét. E kihívások kezelése sokoldalú megközelítést igényel, amely magában foglalja a technológiai védelmet, az alkalmazottak oktatását és a proaktív biztonsági intézkedéseket a rosszindulatú kizsákmányolás ellen.