El equipo de Microsoft Threat Intelligence dijo que observó que un actor de amenazas al que rastrea con el nombre Storm-1811 abusa de la herramienta de administración de clientes Quick Assist para atacar a los usuarios en ataques de ingeniería social.
«Storm-1811 es un grupo cibercriminal con motivación financiera conocido por implementar el ransomware Black Basta «, dijo la compañía en un informe publicado el 15 de mayo de 2024.
La cadena de ataque implica el uso de suplantación de identidad a través de phishing de voz para engañar a víctimas desprevenidas para que instalen herramientas de administración y monitoreo remoto (RMM), seguido de la entrega de QakBot , Cobalt Strike y, en última instancia, el ransomware Black Basta.
«Los actores de amenazas hacen mal uso de las funciones Quick Assist para realizar ataques de ingeniería social pretendiendo, por ejemplo, ser un contacto confiable como el soporte técnico de Microsoft o un profesional de TI de la empresa del usuario objetivo para obtener acceso inicial a un dispositivo objetivo», dijo el gigante tecnológico.
Quick Assist es una aplicación legítima de Microsoft que permite a los usuarios compartir su dispositivo Windows o macOS con otra persona a través de una conexión remota, principalmente con la intención de solucionar problemas técnicos en sus sistemas. Viene instalado de forma predeterminada en dispositivos que ejecutan Windows 11.
Para que los ataques sean más convincentes, los actores de amenazas lanzan ataques de lista de enlaces, un tipo de ataque de bombardeo de correo electrónico en el que las direcciones de correo electrónico objetivo se registran en varios servicios legítimos de suscripción de correo electrónico para inundar sus bandejas de entrada con contenido suscrito.
Luego, el adversario se hace pasar por el equipo de soporte de TI de la empresa a través de llamadas telefónicas al usuario objetivo, pretendiendo ofrecer asistencia para solucionar el problema del spam y persuadirlo para que le otorgue acceso a su dispositivo a través de Quick Assist.
«Una vez que el usuario permite el acceso y el control, el actor de la amenaza ejecuta un comando cURL programado para descargar una serie de archivos por lotes o archivos ZIP utilizados para entregar cargas útiles maliciosas», dijo el fabricante de Windows.
«Storm-1811 aprovecha su acceso y realiza más actividades prácticas con el teclado, como enumeración de dominios y movimiento lateral. Luego, Storm-1811 utiliza PsExec para implementar el ransomware Black Basta en toda la red».
Microsoft dijo que está analizando de cerca el uso indebido de Quick Assist en estos ataques y que está trabajando para incorporar mensajes de advertencia en el software para notificar a los usuarios sobre posibles estafas de soporte técnico que podrían facilitar la entrega de ransomware.
La campaña, que se cree que comenzó a mediados de abril de 2024, se ha dirigido a una variedad de industrias y sectores verticales, incluidos la manufactura, la construcción, los alimentos y bebidas y el transporte, dijo Rapid7 , lo que indica la naturaleza oportunista de los ataques.
«La baja barrera de entrada para realizar estos ataques, junto con los impactos significativos que estos ataques tienen en sus víctimas, continúan haciendo del ransomware un medio muy eficaz para poner fin a los actores de amenazas que buscan un día de pago», Robert Knapp, gerente senior de respuesta a incidentes. servicios en Rapid7, dijo en un comunicado compartido con The Hacker News.
Microsoft también ha descrito a Black Basta como una «oferta cerrada de ransomware» en lugar de una operación de ransomware como servicio ( RaaS ) que comprende una red de desarrolladores principales, afiliados y corredores de acceso inicial que llevan a cabo ataques de ransomware y extorsión.
Es «distribuido por un pequeño número de actores de amenazas que normalmente dependen de otros actores de amenazas para el acceso inicial, la infraestructura maliciosa y el desarrollo de malware», dijo la compañía.
«Desde que Black Basta apareció por primera vez en abril de 2022, los atacantes de Black Basta han implementado el ransomware después de recibir acceso de QakBot y otros distribuidores de malware, lo que destaca la necesidad de que las organizaciones se centren en las etapas de ataque antes de la implementación del ransomware para reducir la amenaza».
Se recomienda a las organizaciones bloquear o desinstalar Quick Assist y herramientas similares de administración y monitoreo remoto si no están en uso y capacitar a los empleados para reconocer las estafas de soporte técnico.
Fuente y redacción: thehackernews.com
