Nadużyte narzędzie szybkiej pomocy systemu Windows może pomóc podmiotom atakującym oprogramowaniem ransomware Black Basta

Wykorzystanie narzędzi zdalnego dostępu stanowi podwójne wyzwanie dla przedsiębiorstw, zwłaszcza gdy są wykorzystywane przez cyberprzestępców biegłych w wyrafinowanych taktykach inżynierii społecznej. Niedawno firma Microsoft Threat Intelligence zwróciła uwagę na pojawienie się kampanii phishingowej Black Basta Ransomware zorganizowanej przez grupę motywowaną finansowo, zidentyfikowaną jako Storm-1811. Grupa ta stosuje podejście inżynierii społecznej, podszywając się pod zaufane podmioty, takie jak pomoc techniczna firmy Microsoft lub wewnętrzny personel IT, aby nakłonić ofiary do przyznania zdalnego dostępu za pośrednictwem Quick Assist, aplikacji systemu Windows ułatwiającej zdalne połączenia.

Po ustanowieniu zaufania i przyznaniu dostępu Storm-1811 przystępuje do wdrażania różnych złośliwych programów, co ostatecznie kończy się dystrybucją oprogramowania ransomware Black Basta. Metoda ta podkreśla łatwość, z jaką legalne narzędzia dostępu zdalnego mogą być manipulowane przez cyberprzestępców dysponujących biegłymi umiejętnościami inżynierii społecznej, z pominięciem tradycyjnych środków bezpieczeństwa. Te zaawansowane taktyki socjotechniki wymagają proaktywnej reakcji ze strony zespołów ds. bezpieczeństwa w przedsiębiorstwie, kładącej nacisk na wzmożoną czujność i kompleksowe szkolenie pracowników.

Sposób działania Storm-1811 obejmuje kombinację vishingu, bombardowania wiadomościami e-mail i podszywania się pod personel IT w celu oszukania i narażenia użytkowników na szwank. Napastnicy zasypują ofiary e-mailami przed zainicjowaniem połączeń vishingowych, wykorzystując wynikające z tego zamieszanie do zmuszania ofiar do zaakceptowania złośliwych próśb o szybką pomoc. To zorganizowane bombardowanie ma na celu dezorientację ofiar, torując drogę skutecznej manipulacji, a następnie rozmieszczeniu złośliwego oprogramowania.

Obserwacje Microsoftu ujawniają, że Storm-1811 wykorzystuje różne złośliwe oprogramowanie, w tym Qakbot i Cobalt Strike, dostarczane za pośrednictwem narzędzi do zdalnego monitorowania, takich jak ScreenConnect i NetSupport Manager. Po uzyskaniu dostępu osoby atakujące wykorzystują polecenia skryptowe do pobierania i wykonywania złośliwych ładunków, utrwalając w ten sposób swoją kontrolę nad zaatakowanymi systemami. Ponadto Storm-1811 wykorzystuje narzędzia takie jak tunelowanie OpenSSH i PsExec w celu utrzymania trwałości i wdrażania oprogramowania ransomware Black Basta w sieciach .

Aby złagodzić takie ataki, organizacjom zaleca się odinstalowanie narzędzi dostępu zdalnego, gdy nie są używane, i wdrożenie rozwiązań do zarządzania dostępem uprzywilejowanym w architekturze zerowego zaufania. Regularne szkolenia pracowników mają ogromne znaczenie w zwiększaniu świadomości na temat taktyk socjotechnicznych i oszustw typu phishing, umożliwiając pracownikom identyfikowanie i udaremnianie potencjalnych zagrożeń. Zaawansowane rozwiązania poczty elektronicznej i monitorowanie zdarzeń dodatkowo wzmacniają zabezpieczenia, umożliwiając szybkie wykrywanie i ograniczanie szkodliwych działań.

Wykorzystywanie narzędzi zdalnego dostępu za pomocą zaawansowanej inżynierii społecznej podkreśla ewoluujący krajobraz zagrożeń cybernetycznych. Sprostanie tym wyzwaniom wymaga wieloaspektowego podejścia obejmującego zabezpieczenia technologiczne, edukację pracowników i proaktywne środki bezpieczeństwa chroniące przed złośliwym wykorzystaniem.