Cibercriminosos atacam Microsoft
16 de Maio de 2024

A equipe de Inteligência de Ameaças da Microsoft relatou ter observado um ator de ameaças, identificado pelo codinome Storm-1811, abusando da ferramenta de gerenciamento de clientes Quick Assist para mirar usuários em ataques de engenharia social.

"Storm-1811 é um grupo de cibercriminosos movido por interesses financeiros, conhecido por implementar o ransomware Black Basta," afirmou a empresa em um relatório publicado em 15 de maio de 2024.

A cadeia de ataque envolve o uso de personificação por meio de phishing de voz para enganar vítimas desavisadas a instalar ferramentas de monitoramento e gerenciamento remoto (RMM), seguido pela entrega do QakBot, Cobalt Strike e, por fim, o ransomware Black Basta.

"Atores de ameaças abusam dos recursos do Quick Assist para realizar ataques de engenharia social fingindo, por exemplo, ser um contato confiável como o suporte técnico da Microsoft ou um profissional de TI da empresa do usuário alvo para obter acesso inicial a um dispositivo alvo," disse o gigante da tecnologia.

O Quick Assist é uma aplicação legítima da Microsoft que permite aos usuários compartilhar seu dispositivo Windows ou macOS com outra pessoa por meio de uma conexão remota, principalmente com o objetivo de solucionar problemas técnicos em seus sistemas.

Ele vem instalado por padrão em dispositivos que executam o Windows 11.

Para tornar os ataques mais convincentes, os atores de ameaças iniciam ataques de listagem de links, um tipo de ataque de bombardeio de e-mail no qual os endereços de e-mail alvo são inscritos em vários serviços legítimos de assinatura de e-mail para inundar suas caixas de entrada com conteúdo subscrito.

O adversário então se disfarça de equipe de suporte de TI da empresa por meio de chamadas telefônicas ao usuário alvo, alegando oferecer assistência na remediação do problema de spam e concedendo-lhes acesso ao dispositivo através do Quick Assist.

"Uma vez que o usuário permite o acesso e controle, o ator de ameaças executa um comando cURL scriptado para baixar uma série de arquivos batch ou arquivos ZIP usados para entregar payloads maliciosos," disse o fabricante do Windows.

Storm-1811 aproveita seu acesso e realiza outras atividades diretas no teclado como enumeração de domínio e movimento lateral.

Depois usa PsExec para implantar o ransomware Black Basta em toda a rede. A Microsoft disse que está examinando detalhadamente o uso indevido do Quick Assist nestes ataques e que está trabalhando na incorporação de mensagens de aviso no software para notificar os usuários sobre possíveis golpes de suporte técnico que poderiam facilitar a entrega de ransomware.

A campanha, acredita-se que começou em meados de abril de 2024, visou uma variedade de indústrias e verticais, incluindo manufatura, construção, alimentos e bebidas, e transporte, disse a Rapid7, indicando a natureza oportunista dos ataques.

"A baixa barreira de entrada para conduzir esses ataques, juntamente com os impactos significativos que esses ataques têm sobre suas vítimas, continuam a tornar o ransomware um meio muito eficaz para os atores de ameaças que buscam um pagamento," disse Robert Knapp, gerente sênior de serviços de resposta a incidentes da Rapid7.

A Microsoft também descreveu o Black Basta como uma "oferta de ransomware fechada" em oposição a uma operação de ransomware-como-serviço (RaaS) que compreende uma rede de desenvolvedores principais, afiliados e corretores de acesso inicial que conduzem ataques de ransomware e extorsão.

É "distribuído por um pequeno número de atores de ameaças que geralmente dependem de outros atores de ameaças para acesso inicial, infraestrutura maliciosa e desenvolvimento de malware," disse a empresa.
"Desde que o Black Basta apareceu pela primeira vez em abril de 2022, os atacantes do Black Basta implantaram o ransomware após receberem acesso do QakBot e outros distribuidores de malware, destacando a necessidade das organizações focarem em estágios de ataque antes da implantação do ransomware para reduzir a ameaça.

Organizações são recomendadas a bloquear ou desinstalar o Quick Assist e ferramentas similares de monitoramento e gerenciamento remoto se não estiverem sendo usadas e treinar funcionários para reconhecer golpes de suporte técnico.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...