Ļaunprātīgi izmantots Windows ātrās palīdzības rīks varētu palīdzēt Black Basta Ransomware draudu dalībniekiem

Attālinātās piekļuves rīku izmantošana uzņēmumiem rada dubultu izaicinājumu, jo īpaši, ja tos izmanto apdraudējuma dalībnieki, kas pieredzējuši sarežģītu sociālās inženierijas taktiku. Nesen Microsoft Threat Intelligence uzsvēra Black Basta Ransomware pikšķerēšanas kampaņas parādīšanos, ko organizēja finansiāli motivēta grupa, kas identificēta kā Storm-1811. Šī grupa izmanto sociāli izstrādātu pieeju, maskējoties par uzticamām struktūrām, piemēram, Microsoft atbalsta dienestu vai iekšējo IT personālu, lai mudinātu upurus piešķirt attālo piekļuvi, izmantojot Quick Assist — Windows lietojumprogrammu, kas atvieglo attālos savienojumus.

Kad uzticība ir nodibināta un piekļuve piešķirta, Storm-1811 izvieto dažādas ļaunprātīgas programmatūras, kas galu galā beidzas ar Black Basta izpirkuma programmatūras izplatīšanu. Metode uzsver to, cik viegli ar likumīgiem attālās piekļuves rīkiem var manipulēt apdraudējuma dalībnieki ar atbilstošām sociālās inženierijas prasmēm, apejot tradicionālos drošības pasākumus. Šīs uzlabotās sociālās inženierijas taktikas prasa proaktīvu reakciju no uzņēmuma drošības komandām, uzsverot pastiprinātu modrību un visaptverošu darbinieku apmācību.

Storm-1811 modus operandi ietver sevī, e-pasta bombardēšanu un uzdošanos par IT darbiniekiem, lai maldinātu un kompromitētu lietotājus. Uzbrucēji pārpludina upurus ar e-pastiem, pirms viņi sāk zvanīt, izmantojot radušos apjukumu, lai piespiestu upurus pieņemt ļaunprātīgus ātrās palīdzības pieprasījumus. Šī organizētā bombardēšana kalpo upuru dezorientācijai, paverot ceļu veiksmīgai manipulācijai un tai sekojošai ļaunprātīgas programmatūras izvietošanai.

Microsoft novērojumi atklāj, ka Storm-1811 izmanto dažādas ļaunprātīgas programmatūras, tostarp Qakbot un Cobalt Strike, kas tiek piegādātas, izmantojot attālās uzraudzības rīkus, piemēram, ScreenConnect un NetSupport Manager. Kad piekļuve ir izveidota, uzbrucēji izmanto skriptētas komandas, lai lejupielādētu un izpildītu ļaunprātīgas slodzes, saglabājot kontroli pār apdraudētajām sistēmām. Turklāt Storm-1811 izmanto tādus rīkus kā OpenSSH tunelēšana un PsExec, lai uzturētu noturību un izvietotu Black Basta izpirkuma programmatūru visos tīklos .

Lai mazinātu šādus uzbrukumus, organizācijām tiek ieteikts atinstalēt attālās piekļuves rīkus, kad tie netiek izmantoti, un ieviest privilēģiju piekļuves pārvaldības risinājumus ar nulles uzticamības arhitektūru. Regulāra darbinieku apmācība ir ļoti svarīga, lai veicinātu izpratni par sociālās inženierijas taktiku un pikšķerēšanas krāpniecību, dodot darbiniekiem iespēju identificēt un novērst iespējamos draudus. Uzlaboti e-pasta risinājumi un notikumu uzraudzība vēl vairāk stiprina aizsardzību, ļaujot ātri atklāt un mazināt ļaunprātīgas darbības.

Attālās piekļuves rīku izmantošana, izmantojot sarežģītu sociālo inženieriju, uzsver kiberdraudu ainavas attīstību. Lai risinātu šīs problēmas, ir nepieciešama daudzpusīga pieeja, kas ietver tehnoloģisko aizsardzību, darbinieku izglītošanu un proaktīvus drošības pasākumus, lai aizsargātu pret ļaunprātīgu izmantošanu.