Abuzimi i mjetit të ndihmës së shpejtë të Windows mund të ndihmojë aktorët e kërcënimit të Ransomware-it Black Basta

Përdorimi i mjeteve të aksesit në distancë paraqet një sfidë të dyfishtë për ndërmarrjet, veçanërisht kur shfrytëzohen nga aktorë kërcënimi të aftë në taktikat e sofistikuara të inxhinierisë sociale. Kohët e fundit, Microsoft Threat Intelligence theksoi shfaqjen e një fushate phishing të Black Basta Ransomware të orkestruar nga një grup i motivuar financiarisht i identifikuar si Storm-1811. Ky grup përdor një qasje të krijuar nga shoqëria, duke u maskuar si entitete të besuara si mbështetja e Microsoft ose personeli i brendshëm i IT-së, për të nxitur viktimat të japin akses në distancë nëpërmjet Quick Assist, një aplikacion Windows që lehtëson lidhjet në distancë.

Pasi të krijohet besimi dhe të jepet qasja, Storm-1811 vazhdon të vendosë malware të ndryshëm, duke kulmuar përfundimisht në shpërndarjen e ransomware-it Black Basta. Metoda nënvizon lehtësinë me të cilën mjetet legjitime të aksesit në distancë mund të manipulohen nga aktorë kërcënimi me aftësi të aftë inxhinierike sociale, duke anashkaluar masat tradicionale të sigurisë. Këto taktika të avancuara të inxhinierisë sociale kërkojnë një përgjigje proaktive nga ekipet e sigurisë së ndërmarrjeve, duke theksuar vigjilencën e shtuar dhe trajnimin gjithëpërfshirës të punonjësve.

Mënyra e funksionimit të Storm-1811 përfshin një kombinim të vishing-ut, bombardimeve me email dhe imitimit të personelit të IT-së për të mashtruar dhe kompromentuar përdoruesit. Sulmuesit i përmbytin viktimat me email përpara se të nisin telefonatat vishing, duke shfrytëzuar konfuzionin që pason për t'i detyruar viktimat të pranojnë kërkesat dashakeqe të Ndihmës së Shpejtë. Ky bombardim i orkestruar shërben për të çorientuar viktimat, duke i hapur rrugën manipulimit të suksesshëm dhe vendosjes së mëvonshme të malware.

Vëzhgimet e Microsoft zbulojnë përdorimin nga Storm-1811 të malware të ndryshëm, duke përfshirë Qakbot dhe Cobalt Strike, të ofruara përmes mjeteve të monitorimit në distancë si ScreenConnect dhe NetSupport Manager. Pasi të vendoset qasja, sulmuesit përdorin komanda të skriptuara për të shkarkuar dhe ekzekutuar ngarkesa me qëllim të keq, duke përjetësuar kontrollin e tyre mbi sistemet e komprometuara. Për më tepër, Storm-1811 përdor mjete si tunelizimi i OpenSSH dhe PsExec për të ruajtur qëndrueshmërinë dhe për të vendosur ransomware Black Basta nëpër rrjete .

Për të zbutur sulme të tilla, organizatat këshillohen të çinstalojnë mjetet me qasje në distancë kur nuk janë në përdorim dhe të zbatojnë zgjidhje të menaxhimit të aksesit të privilegjuar me një arkitekturë me zero besim. Trajnimi i rregullt i punonjësve është thelbësor në kultivimin e ndërgjegjësimit për taktikat e inxhinierisë sociale dhe mashtrimet e phishing, duke fuqizuar stafin për të identifikuar dhe parandaluar kërcënimet e mundshme. Zgjidhjet e avancuara të postës elektronike dhe monitorimi i ngjarjeve forcojnë më tej mbrojtjen, duke mundësuar zbulimin dhe zbutjen e menjëhershme të aktiviteteve me qëllim të keq.

Shfrytëzimi i mjeteve të aksesit në distancë përmes inxhinierisë së sofistikuar sociale nënvizon peizazhin në zhvillim të kërcënimeve kibernetike. Adresimi i këtyre sfidave kërkon një qasje shumëplanëshe që përfshin mbrojtjen teknologjike, edukimin e punonjësve dhe masat proaktive të sigurisë për t'u mbrojtur nga shfrytëzimi keqdashës.