Piktnaudžiaujantis Windows greitosios pagalbos įrankis gali padėti Black Basta Ransomware grėsmės veikėjams

Nuotolinės prieigos įrankių naudojimas įmonėms yra dvigubas iššūkis, ypač kai jomis naudojasi grėsmės veikėjai, išmanantys sudėtingą socialinės inžinerijos taktiką. Neseniai „Microsoft Threat Intelligence“ pabrėžė, kad atsirado Black Basta Ransomware sukčiavimo kampanija, kurią organizavo finansiškai motyvuota grupė, vadinama Storm-1811. Ši grupė taiko socialiai sukurtą metodą, prisidengdama kaip patikimi subjektai, pvz., „Microsoft“ palaikymo tarnyba ar vidinis IT personalas, siekdama įtikinti aukas suteikti nuotolinę prieigą naudojant „Quick Assist“, „Windows“ programą, palengvinančią nuotolinius ryšius.

Kai tik atsiranda pasitikėjimas ir suteikiama prieiga, „Storm-1811“ pradeda diegti įvairias kenkėjiškas programas, kurios galiausiai baigiasi „Black Basta“ išpirkos reikalaujančios programos platinimu. Šis metodas pabrėžia, kad grėsmės veikėjai, turintys tinkamus socialinės inžinerijos įgūdžius, gali lengvai manipuliuoti teisėtais nuotolinės prieigos įrankiais, apeinant tradicines saugumo priemones. Šios pažangios socialinės inžinerijos taktikos reikalauja, kad įmonės saugos komandos reaguotų aktyviai, pabrėžiant didesnį budrumą ir visapusišką darbuotojų mokymą.

„Storm-1811“ veikimo būdas apima vizitų, elektroninio pašto bombardavimo ir apsimetinėjimo IT personalu derinį, siekiant apgauti ir sukompromituoti vartotojus. Užpuolikai užplūsta aukas el. laiškais prieš pradėdami skambučius, pasinaudodami kylančia painiava, kad priverstų aukas priimti kenkėjiškas greitosios pagalbos užklausas. Šis suorganizuotas bombardavimas padeda dezorientuoti aukas, atveria kelią sėkmingam manipuliavimui ir tolesniam kenkėjiškų programų diegimui.

„Microsoft“ stebėjimai atskleidžia, kad Storm-1811 naudoja įvairias kenkėjiškas programas, įskaitant „Qakbot“ ir „Cobalt Strike“, teikiamas naudojant nuotolinio stebėjimo įrankius, tokius kaip „ScreenConnect“ ir „NetSupport Manager“. Sukūrę prieigą, užpuolikai naudoja scenarijus sudarytas komandas, kad atsisiųstų ir vykdytų kenksmingas apkrovas, taip išsaugodami jų kontrolę pažeistose sistemose. Be to, Storm-1811 naudoja tokius įrankius kaip OpenSSH tuneliavimas ir PsExec, kad išlaikytų atkaklumą ir diegtų Black Basta išpirkos reikalaujančią programinę įrangą tinkluose .

Siekiant sumažinti tokias atakas, organizacijoms patariama pašalinti nuotolinės prieigos įrankius, kai jie nenaudojami, ir įdiegti privilegijų prieigos valdymo sprendimus su nulinio pasitikėjimo architektūra. Reguliarus darbuotojų mokymas yra itin svarbus siekiant ugdyti sąmoningumą apie socialinės inžinerijos taktiką ir sukčiavimo sukčiavimą, įgalinant personalą atpažinti galimas grėsmes ir jas sutrukdyti. Pažangūs el. pašto sprendimai ir įvykių stebėjimas dar labiau sustiprina apsaugą, leidžia greitai aptikti ir sušvelninti kenkėjišką veiklą.

Nuotolinės prieigos įrankių išnaudojimas taikant sudėtingą socialinę inžineriją pabrėžia besikeičiančią kibernetinių grėsmių aplinką. Norint išspręsti šiuos iššūkius, reikalingas daugialypis požiūris, apimantis technologinę apsaugą, darbuotojų švietimą ir aktyvias saugumo priemones, skirtas apsisaugoti nuo piktavališko išnaudojimo.