Instrumentul de asistență rapidă Windows abuzat ar putea ajuta Black Basta Ransomware să amenințe actorii

Utilizarea instrumentelor de acces de la distanță prezintă o dublă provocare pentru întreprinderi, în special atunci când sunt exploatate de actori de amenințări pricepuți în tactici sofisticate de inginerie socială. Recent, Microsoft Threat Intelligence a evidențiat apariția unei campanii de phishing Black Basta Ransomware orchestrată de un grup motivat financiar identificat ca Storm-1811. Acest grup folosește o abordare concepută social, prefăcându-se ca entități de încredere, cum ar fi suportul Microsoft sau personalul IT intern, pentru a convinge victimele să acorde acces la distanță prin Quick Assist, o aplicație Windows care facilitează conexiunile la distanță.

Odată ce încrederea este stabilită și accesul acordat, Storm-1811 continuă să implementeze diferite programe malware, culminând în cele din urmă cu distribuția de ransomware Black Basta. Metoda subliniază ușurința cu care instrumentele legitime de acces la distanță pot fi manipulate de către actori amenințări cu abilități adepte de inginerie socială, ocolind măsurile tradiționale de securitate. Aceste tactici avansate de inginerie socială necesită un răspuns proactiv din partea echipelor de securitate ale întreprinderii, subliniind vigilența sporită și pregătirea completă a angajaților.

Modul de operare al Storm-1811 implică o combinație de vishing, bombardarea prin e-mail și uzurparea identității personalului IT pentru a înșela și a compromite utilizatorii. Atacatorii inund victimele cu e-mailuri înainte de a iniția apeluri vishing, exploatând confuzia care rezultă pentru a constrânge victimele să accepte solicitări rău intenționate de asistență rapidă. Acest bombardament orchestrat servește la dezorientarea victimelor, deschizând calea pentru manipularea cu succes și implementarea ulterioară a malware-ului.

Observațiile Microsoft dezvăluie utilizarea de către Storm-1811 a diferitelor programe malware, inclusiv Qakbot și Cobalt Strike, furnizate prin instrumente de monitorizare la distanță precum ScreenConnect și NetSupport Manager. Odată ce accesul este stabilit, atacatorii folosesc comenzi scriptate pentru a descărca și executa încărcături utile rău intenționate, perpetuându-și controlul asupra sistemelor compromise. În plus, Storm-1811 folosește instrumente precum tunelul OpenSSH și PsExec pentru a menține persistența și pentru a implementa ransomware-ul Black Basta în rețele .

Pentru a atenua astfel de atacuri, organizațiile sunt sfătuite să dezinstaleze instrumentele de acces la distanță atunci când nu sunt utilizate și să implementeze soluții de gestionare a accesului cu privilegii cu o arhitectură de încredere zero. Instruirea regulată a angajaților este esențială în cultivarea conștientizării tacticilor de inginerie socială și a înșelătoriilor de tip phishing, dându-le personalului putere să identifice și să contracareze potențialele amenințări. Soluțiile avansate de e-mail și monitorizarea evenimentelor întăresc și mai mult apărarea, permițând detectarea promptă și atenuarea activităților rău intenționate.

Exploatarea instrumentelor de acces la distanță prin inginerie socială sofisticată subliniază peisajul în evoluție al amenințărilor cibernetice. Abordarea acestor provocări necesită o abordare cu mai multe fațete care să cuprindă apărarea tehnologică, educația angajaților și măsuri de securitate proactive pentru a proteja împotriva exploatării rău intenționate.