A equipe de Inteligência de Ameaças da Microsoft observou um ator de ameaças que ela rastreia sob o nome “Storm-1811”, abusando da ferramenta de gerenciamento de clientes Quick Assist para direcionar usuários em ataques de engenharia social. “Storm-1811 é um grupo de criminosos cibernéticos motivados financeiramente conhecidos por implantar o ransomware Black Basta”, afirmou a empresa em um relatório publicado em 15 de maio de 2024. A cadeia de ataque envolve a utilização de falsificação por meio de phishing por voz para enganar vítimas desavisadas a instalarem ferramentas de monitoramento e gerenciamento remoto (RMM), seguidas pela entrega de QakBot, Cobalt Strike e, por fim, o ransomware Black Basta. A Microsoft disse que está examinando de perto o uso indevido do Quick Assist nessas ameaças e que está trabalhando na incorporação de mensagens de aviso no software para notificar os usuários sobre possíveis scams de suporte técnico que poderiam facilitar a entrega de ransomware. A campanha, que se acredita ter começado em meados de abril de 2024, tem como alvo uma variedade de indústrias e setores, incluindo manufatura, construção, alimentos e bebidas e transporte, afirmou a Rapid7, indicando a natureza oportunista dos ataques. “A baixa barreira de entrada para realizar esses ataques, juntamente com os impactos significativos que esses ataques têm sobre suas vítimas, continuam tornando o ransomware um meio muito eficaz para os atores de ameaças em busca de um pagamento”, disse Robert Knapp, gerente sênior de serviços de resposta a incidentes da Rapid7, em um comunicado compartilhado com o The Hacker News. A Microsoft também descreveu o Black Basta como uma “oferta de ransomware fechada”, em oposição a uma operação de ransomware como serviço (RaaS) que compreende uma rede de desenvolvedores principais, afiliados e corretores de acesso inicial que conduzem ataques de ransomware e extorsão. “Distribuído por um pequeno número de atores de ameaças que normalmente dependem de outros atores de ameaças para acesso inicial, infraestrutura maliciosa e desenvolvimento de malware”, disse a empresa. “Desde que o Black Basta apareceu pela primeira vez em abril de 2022, os atacantes do Black Basta implantaram o ransomware após receberem acesso do QakBot e de outros distribuidores de malware, destacando a necessidade de as organizações se concentrarem nas etapas de ataque anteriores à implantação do ransomware para reduzir a ameaça”. As organizações são recomendadas a bloquear ou desinstalar o Quick Assist e ferramentas semelhantes de monitoramento e gerenciamento remoto se não estiverem em uso e treinar os funcionários para reconhecer scams de suporte técnico.