A equipe de inteligência de ameaças da Microsoft disse ter observado um ator de ameaças que rastreiam sob o nome Storm-1811 abusando da ferramenta de gerenciamento de clientes Quick Assist para direcionar usuários em ataques de engenharia social.
“Storm-1811 é um grupo de cibercriminosos com motivação financeira conhecido por implantar o ransomware Black Basta,” disse a empresa em um relatório publicado em 15 de maio de 2024.
A cadeia de ataque envolve o uso de falsificação através de phishing de voz para enganar vítimas desavisadas a instalar ferramentas de monitoramento e gerenciamento remoto (RMM), seguido pela entrega de QakBot, Cobalt Strike e, por fim, do ransomware Black Basta.
“Os atores de ameaças usam recursos do Quick Assist para realizar ataques de engenharia social, fingindo, por exemplo, ser um contato confiável como suporte técnico da Microsoft ou um profissional de TI da empresa do usuário alvo para obter acesso inicial ao dispositivo de destino,” disse a gigante da tecnologia.
O Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilharem seu dispositivo Windows ou macOS com outra pessoa por meio de uma conexão remota, principalmente com o objetivo de solucionar problemas técnicos em seus sistemas. Ele vem instalado por padrão em dispositivos que executam o Windows 11.
Para tornar os ataques mais convincentes, os atores de ameaças lançam ataques de listagem de links, um tipo de ataque de bombardeio de email no qual os endereços de email direcionados são inscritos em vários serviços legítimos de assinatura de email para inundar suas caixas de entrada com conteúdos inscritos.
O adversário então se passa pela equipe de suporte de TI da empresa por meio de chamadas telefônicas para o usuário alvo, alegando oferecer assistência na remediação do problema de spam e persuadindo-os a conceder acesso ao seu dispositivo através do Quick Assist.
“Depois que o usuário permite o acesso e controle, o ator de ameaças executa um comando cURL script para baixar uma série de arquivos em lote ou ZIP usados para entregar cargas maliciosas,” disse a fabricante do Windows.
“Storm-1811 aproveita seu acesso e realiza mais atividades práticas, como enumeração de domínio e movimentação lateral. Storm-1811 então usa o PsExec para implantar o ransomware Black Basta em toda a rede.”
A Microsoft disse que está acompanhando de perto o uso indevido do Quick Assist nesses ataques e que está trabalhando para incorporar mensagens de aviso no software para notificar os usuários sobre possíveis golpes de suporte técnico que poderiam facilitar a entrega de ransomware.
A campanha, acreditada ter começado em meados de abril de 2024, atingiu uma variedade de indústrias e setores, incluindo manufatura, construção, alimentos e bebidas, e transporte, disse a Rapid7, indicando a natureza oportunista dos ataques.
“O baixo limite de entrada para realizar esses ataques, juntamente com os impactos significativos que esses ataques têm sobre suas vítimas, continuam tornando o ransomware um meio muito eficaz para os atores de ameaças em busca de um pagamento,” disse Robert Knapp, gerente sênior de serviços de resposta a incidentes da Rapid7, em uma declaração compartilhada com The Hacker News.
A Microsoft também descreveu o Black Basta como uma “oferta de ransomware fechada” em oposição a uma operação de ransomware-como-serviço (RaaS) que compreende uma rede de desenvolvedores principais, afiliados e corretores de acesso inicial que conduzem ataques de ransomware e extorsão.
“Desde que o Black Basta apareceu pela primeira vez em abril de 2022, os atacantes do Black Basta implantaram o ransomware após receberem acesso do QakBot e de outros distribuidores de malware, destacando a necessidade de as organizações se concentrarem nas etapas de ataque antes da implantação do ransomware para reduzir a ameaça.”
As organizações são recomendadas a bloquear ou desinstalar o Quick Assist e ferramentas de monitoramento e gerenciamento remoto semelhantes se não estiverem em uso e treinar os funcionários para reconhecer golpes de suporte técnico.