A equipe de inteligência de ameaças da Microsoft informou que observou um ator de ameaça que rastreia sob o nome Storm-1811 abusando da ferramenta de gerenciamento de cliente Quick Assist para atacar usuários em ataques de engenharia social.
“Storm-1811 é um grupo de cibercriminosos com motivação financeira conhecido por implantar o ransomware Black Basta”, disse a empresa em um relatório publicado em maio de 2024.
A cadeia de ataque envolve o uso de impersonificação por meio de phishing por voz para enganar vítimas desavisadas a instalar ferramentas de monitoramento e gerenciamento remoto (RMM), seguido pela entrega de QakBot, Cobalt Strike e, por fim, o ransomware Black Basta.
“Os atores de ameaças usam recursos do Quick Assist para realizar ataques de engenharia social, fingindo, por exemplo, ser um contato confiável como suporte técnico da Microsoft ou um profissional de TI da empresa do usuário-alvo para obter acesso inicial a um dispositivo-alvo”, disse a gigante da tecnologia.
O Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilhar seu dispositivo Windows ou macOS com outra pessoa por meio de uma conexão remota, principalmente com a intenção de solucionar problemas técnicos em seus sistemas. Ele vem instalado por padrão em dispositivos que executam o Windows 11.
Para tornar os ataques mais convincentes, os atores de ameaças realizam ataques de lista de links, um tipo de ataque de bombardeio de e-mail no qual os endereços de e-mail-alvo são inscritos em vários serviços legítimos de inscrição por e-mail para inundar suas caixas de entrada com conteúdo assinado.
O adversário então se disfarça como a equipe de suporte de TI da empresa por meio de chamadas telefônicas ao usuário-alvo, alegando oferecer assistência na remediação do problema de spam e persuadindo-os a conceder acesso ao dispositivo por meio do Quick Assist.
“Uma vez que o usuário permite acesso e controle, o ator de ameaça executa um comando cURL scriptado para baixar uma série de arquivos em lote ou arquivos ZIP usados para distribuir payloads maliciosos”, disse a fabricante do Windows.
“Storm-1811 alavanca seu acesso e realiza mais atividades práticas, como enumeração de domínio e movimento lateral. Storm-1811 então usa PsExec para implantar o ransomware Black Basta em toda a rede.”
A Microsoft disse que está investigando de perto o uso indevido do Quick Assist nesses ataques e que está trabalhando na incorporação de mensagens de aviso no software para notificar os usuários sobre possíveis golpes de suporte técnico que poderiam facilitar a entrega de ransomware.
A campanha, acredita-se ter iniciado em meados de abril de 2024, visou uma variedade de indústrias e setores, incluindo manufatura, construção, alimentos e bebidas e transporte, disse a Rapid7, indicando a natureza oportunista dos ataques.
“A baixa barreira de entrada para conduzir esses ataques, somada aos impactos significativos que esses ataques têm sobre suas vítimas, continua tornando o ransomware um meio muito eficaz para ameaças que buscam um pagamento”, disse Robert Knapp, gerente sênior de serviços de resposta a incidentes da Rapid7, em comunicado compartilhado com o The Hacker News.
A Microsoft também descreveu o Black Basta como uma “oferta de ransomware fechada” em oposição a uma operação de ransomware como serviço (RaaS) que compreende uma rede de desenvolvedores principais, afiliados e corretores de acesso inicial que conduzem ataques de ransomware e extorsão.
É “distribuído por um pequeno número de atores de ameaças que normalmente dependem de outros atores de ameaças para acesso inicial, infraestrutura maliciosa e desenvolvimento de malware”, disse a empresa.
“Desde que o Black Basta apareceu pela primeira vez em abril de 2022, os atacantes do Black Basta implantaram o ransomware após obter acesso do QakBot e de outros distribuidores de malware, destacando a necessidade de as organizações se concentrarem nas fases de ataque anteriores à implantação do ransomware para reduzir a ameaça.”
As organizações são recomendadas a bloquear ou desinstalar o Quick Assist e ferramentas de monitoramento e gerenciamento remoto semelhantes, se não estiverem em uso, e treinar os funcionários para reconhecer golpes de suporte técnico.
