Cibercriminosos atacam Microsoft
16 de Maio de 2024

A equipe de Inteligência de Ameaças da Microsoft relatou ter observado um ator de ameaças, identificado pelo codinome Storm-1811, abusando da ferramenta de gerenciamento de clientes Quick Assist para mirar usuários em ataques de engenharia social.

"Storm-1811 é um grupo de cibercriminosos movido por interesses financeiros, conhecido por implementar o ransomware Black Basta," afirmou a empresa em um relatório publicado em 15 de maio de 2024.

A cadeia de ataque envolve o uso de personificação por meio de phishing de voz para enganar vítimas desavisadas a instalar ferramentas de monitoramento e gerenciamento remoto (RMM), seguido pela entrega do QakBot, Cobalt Strike e, por fim, o ransomware Black Basta.

"Atores de ameaças abusam dos recursos do Quick Assist para realizar ataques de engenharia social fingindo, por exemplo, ser um contato confiável como o suporte técnico da Microsoft ou um profissional de TI da empresa do usuário alvo para obter acesso inicial a um dispositivo alvo," disse o gigante da tecnologia.

O Quick Assist é uma aplicação legítima da Microsoft que permite aos usuários compartilhar seu dispositivo Windows ou macOS com outra pessoa por meio de uma conexão remota, principalmente com o objetivo de solucionar problemas técnicos em seus sistemas.

Ele vem instalado por padrão em dispositivos que executam o Windows 11.

Para tornar os ataques mais convincentes, os atores de ameaças iniciam ataques de listagem de links, um tipo de ataque de bombardeio de e-mail no qual os endereços de e-mail alvo são inscritos em vários serviços legítimos de assinatura de e-mail para inundar suas caixas de entrada com conteúdo subscrito.

O adversário então se disfarça de equipe de suporte de TI da empresa por meio de chamadas telefônicas ao usuário alvo, alegando oferecer assistência na remediação do problema de spam e concedendo-lhes acesso ao dispositivo através do Quick Assist.

"Uma vez que o usuário permite o acesso e controle, o ator de ameaças executa um comando cURL scriptado para baixar uma série de arquivos batch ou arquivos ZIP usados para entregar payloads maliciosos," disse o fabricante do Windows.

Storm-1811 aproveita seu acesso e realiza outras atividades diretas no teclado como enumeração de domínio e movimento lateral.

Depois usa PsExec para implantar o ransomware Black Basta em toda a rede. A Microsoft disse que está examinando detalhadamente o uso indevido do Quick Assist nestes ataques e que está trabalhando na incorporação de mensagens de aviso no software para notificar os usuários sobre possíveis golpes de suporte técnico que poderiam facilitar a entrega de ransomware.

A campanha, acredita-se que começou em meados de abril de 2024, visou uma variedade de indústrias e verticais, incluindo manufatura, construção, alimentos e bebidas, e transporte, disse a Rapid7, indicando a natureza oportunista dos ataques.

"A baixa barreira de entrada para conduzir esses ataques, juntamente com os impactos significativos que esses ataques têm sobre suas vítimas, continuam a tornar o ransomware um meio muito eficaz para os atores de ameaças que buscam um pagamento," disse Robert Knapp, gerente sênior de serviços de resposta a incidentes da Rapid7.

A Microsoft também descreveu o Black Basta como uma "oferta de ransomware fechada" em oposição a uma operação de ransomware-como-serviço (RaaS) que compreende uma rede de desenvolvedores principais, afiliados e corretores de acesso inicial que conduzem ataques de ransomware e extorsão.

É "distribuído por um pequeno número de atores de ameaças que geralmente dependem de outros atores de ameaças para acesso inicial, infraestrutura maliciosa e desenvolvimento de malware," disse a empresa.
"Desde que o Black Basta apareceu pela primeira vez em abril de 2022, os atacantes do Black Basta implantaram o ransomware após receberem acesso do QakBot e outros distribuidores de malware, destacando a necessidade das organizações focarem em estágios de ataque antes da implantação do ransomware para reduzir a ameaça.

Organizações são recomendadas a bloquear ou desinstalar o Quick Assist e ferramentas similares de monitoramento e gerenciamento remoto se não estiverem sendo usadas e treinar funcionários para reconhecer golpes de suporte técnico.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...