A equipe de inteligência contra ameaças da Microsoft informou que observou um ator de ameaças conhecido como Storm-1811 abusando da ferramenta de gerenciamento de clientes Quick Assist para direcionar usuários em ataques de engenharia social.
O Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilhar seu dispositivo Windows ou macOS com outra pessoa por meio de uma conexão remota, principalmente com a intenção de solucionar problemas técnicos em seus sistemas. Ele é instalado por padrão em dispositivos com Windows 11.
A campanha, que se acredita ter começado em meados de abril de 2024, tem como alvo uma variedade de indústrias e setores, incluindo manufatura, construção, alimentos e bebidas, e transporte, disse a Rapid7, indicando a natureza oportunista dos ataques.
“A baixa barreira de entrada para realizar esses ataques, combinada com os impactos significativos que esses ataques têm sobre suas vítimas, continuam a tornar o ransomware um meio muito eficaz para os atores de ameaças em busca de um pagamento”, disse Robert Knapp, gerente sênior de serviços de resposta a incidentes na Rapid7.
A Microsoft também descreveu o Black Basta como uma “oferta de ransomware fechada”, em vez de uma operação de ransomware-como-serviço (RaaS) que compreende uma rede de desenvolvedores principais, afiliados, e corretores de acesso inicial que realizar ransomwares e extorsões. É “distribuído por um pequeno número de atores de ameaças que normalmente dependem de outros atores de ameaças para acesso inicial, infraestrutura maliciosa, e desenvolvimento de malware”, disse a empresa.